Politique de Confidentialité

1. Introduction

Où ça ("nous", "notre", "nos") exploite le site web ouca.app (le "Service"). Cette page vous informe de nos politiques concernant la collecte, l'utilisation et la divulgation des données personnelles lorsque vous utilisez notre Service.

2. Données collectées

2.1 Données d'inscription

• Adresse e-mail
• Nom et prénom
• Informations sur l'organisation (nom, SIRET pour les associations)
• Photo de profil (optionnelle)

2.2 Données d'utilisation

Nous collectons des données d'utilisation via notre service d'analytics (PostHog) pour améliorer notre service :

• Pages visitées et parcours utilisateur
• Actions effectuées sur le site (inscription, réservation, etc.)
• Type de navigateur et appareil
• Heure et date de visite
• Référent (site d'origine)
• Pays de visite (niveau pays uniquement)

Note importante : PostHog utilise des cookies d'analyse uniquement avec votre consentement explicite. Vous pouvez refuser ces cookies via notre bannière de consentement. PostHog respecte les préférences "Do Not Track" de votre navigateur. Les données sont stockées de manière sécurisée et conformément au RGPD.

2.3 Cookies

Nous utilisons différents types de cookies :

• Cookies strictement nécessaires : authentification, sécurité (CSRF), préférences (langue, thème). Ces cookies sont essentiels au fonctionnement du site.
• Cookies d'analyse : utilisés par PostHog pour analyser l'utilisation du site. Ces cookies ne sont activés qu'avec votre consentement explicite via notre bannière de cookies.

2.4 Données Google (Google OAuth et Google Calendar)

Notre Service utilise le système d'authentification Google OAuth 2.0 afin de permettre aux utilisateurs de se connecter avec leur compte Google.

Avec votre consentement explicite, nous pouvons également demander l'accès à certaines données de votre Google Calendar.

Données Google collectées

Selon les fonctionnalités utilisées, nous pouvons accéder aux données suivantes :

• Événements du calendrier (date et heure de début et de fin)
• Identifiant du calendrier principal

Nous n'accédons pas au contenu détaillé des événements (descriptions, participants, notes) sauf si cela est strictement nécessaire à la fonctionnalité utilisée.

Finalité de l'accès au calendrier

Les données Google Calendar sont utilisées uniquement pour :

• Afficher vos disponibilités
• Faciliter la réservation et la coordination d'activités entre associations
• Éviter les conflits de planning

Stockage et conservation

Les données issues de Google Calendar :

• Ne sont pas revendues
• Ne sont pas partagées avec des tiers
• Ne sont stockées que temporairement ou sous forme strictement nécessaire au fonctionnement du service

Révocation de l'accès

Vous pouvez révoquer l'accès de Où ça à votre compte Google à tout moment :

• Depuis les paramètres de votre compte Google (« Applications ayant accès à votre compte »)
• Ou depuis les paramètres de votre compte utilisateur sur Où ça

Après révocation, nous n'accédons plus à aucune donnée Google Calendar.

3. Utilisation des données

Nous utilisons vos données pour :

• Fournir et maintenir notre Service
• Vous notifier des changements concernant notre Service
• Permettre la réservation d'espaces entre associations
• Fournir un support client
• Détecter, prévenir et résoudre les problèmes techniques
• Analyser l'utilisation du site pour améliorer nos services (via PostHog, avec votre consentement)

4. Base légale (RGPD)

Le traitement de vos données personnelles est basé sur :

• Consentement : inscription au service
• Exécution d'un contrat : fourniture du service de réservation
• Intérêt légitime : amélioration du service, sécurité

5. Partage des données

Nous ne vendons ni ne louons vos données. Vos données peuvent être partagées avec :

• Supabase : hébergement de la base de données (Allemagne, conforme RGPD)
• Vercel : hébergement de l'application (conforme RGPD)
• API INSEE : vérification des associations (uniquement SIRET)
• Sentry : surveillance des erreurs (données anonymisées)
• PostHog : service d'analytics pour améliorer notre service (cookies d'analyse avec consentement, respecte Do Not Track, conforme RGPD, données stockées de manière sécurisée)
• Google : authentification OAuth et accès au Google Calendar uniquement avec votre consentement explicite

6. Vos droits (RGPD)

Vous avez le droit de :

• Accès : obtenir une copie de vos données
• Rectification : corriger vos données inexactes
• Suppression : demander la suppression de vos données
• Portabilité : recevoir vos données dans un format structuré
• Opposition : vous opposer au traitement de vos données
• Limitation : demander la limitation du traitement

Pour exercer ces droits, contactez-nous à : privacy@ouca.app

7. Sécurité

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données :

• Chiffrement HTTPS pour toutes les communications
• Authentification sécurisée via Supabase Auth
• Row Level Security (RLS) sur la base de données
• Sauvegardes quotidiennes chiffrées

8. Conservation des données

Nous conservons vos données tant que votre compte est actif. En cas de suppression de compte, vos données sont supprimées sous 30 jours (sauf obligation légale de conservation).

9. Transferts internationaux

Vos données sont hébergées dans l'Union Européenne (Supabase - région Allemagne). En cas de transfert hors UE, nous utilisons les clauses contractuelles types de la Commission européenne.

10. Modifications

Nous pouvons mettre à jour cette politique de confidentialité périodiquement. Nous vous notifierons de tout changement en publiant la nouvelle politique sur cette page.

11. Contact

Pour toute question concernant cette politique de confidentialité :

• Email : privacy@ouca.app
• Formulaire de contact : /contact

12. Autorité de contrôle

Vous avez le droit de déposer une plainte auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) si vous estimez que vos droits ne sont pas respectés :

www.cnil.fr