Politique de confidentialité de l'application Xtreme Fest

Version : V1 — Date d'entrée en vigueur : 12 juin 2026

1. Objet de la Politique de Confidentialité

La présente politique de confidentialité (ci-après la « Politique de Confidentialité ») a pour objet d'informer les utilisateurs de l'application mobile Xtreme Fest (ci-après l'« Application ») sur les conditions dans lesquelles leurs données à caractère personnel sont collectées, utilisées, conservées, partagées et protégées dans le cadre de l'utilisation de l'Application.

La présente Politique de Confidentialité complète les Conditions Générales d'Utilisation de l'Application (ci-après les « CGU »), sans s'y substituer. Les CGU encadrent les conditions contractuelles d'accès et d'utilisation de l'Application, tandis que la présente Politique de Confidentialité décrit les traitements de données à caractère personnel mis en œuvre dans ce cadre.

La présente Politique de Confidentialité s'applique à toute personne qui télécharge, installe, consulte, accède à ou utilise l'Application, avec ou sans création de compte.

2. Identité du responsable du traitement

Le responsable du traitement des données à caractère personnel mises en œuvre dans le cadre de l'Application est :

  • Éditeur : Michel MALDONADO, entrepreneur individuel (EI)
  • SIREN : 922 725 809
  • Adresse : communiquée sur demande à l'adresse de contact ci-dessous
  • Adresse e-mail de contact : contact+xtremefest-app@wtsh.io
  • Directeur de la publication / représentant légal : Monsieur Michel MALDONADO

Aux fins de la présente Politique de Confidentialité, Michel MALDONADO, entrepreneur individuel, est ci-après désigné l'« Éditeur » ou le « Responsable du traitement ».

3. Délégué à la protection des données

À la date d'entrée en vigueur de la présente Politique de Confidentialité, l'Éditeur n'a pas désigné de délégué à la protection des données (ci-après le « DPO »).

En l'absence de DPO désigné, toute demande relative aux données personnelles peut être adressée à : contact+xtremefest-app@wtsh.io.

4. Cadre juridique applicable

La présente Politique de Confidentialité est établie notamment au regard :

  • Du Règlement (UE) 2016/679 du 27 avril 2016, dit Règlement Général sur la Protection des Données ou RGPD ;
  • De la loi n° 78-17 du 6 janvier 1978 modifiée, dite loi Informatique et Libertés ;
  • De la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ;
  • Des lignes directrices, recommandations, référentiels et positions publiés par la Commission nationale de l'informatique et des libertés (CNIL) ;
  • Des règles applicables aux opérations de lecture et d'écriture sur le terminal de l'utilisateur, notamment en matière de traceurs, identifiants, SDK, permissions mobiles et technologies équivalentes.

5. À qui s'adresse cette Politique de Confidentialité ?

La présente Politique de Confidentialité s'adresse :

  • Aux utilisateurs qui accèdent à l'Application sans créer de compte ;
  • Aux utilisateurs qui créent un compte au sein de l'Application ;
  • Aux utilisateurs qui utilisent les fonctionnalités de favoris, planning personnel, carte interactive, notifications, géolocalisation, signalements, feedbacks ou support ;
  • Plus généralement, à toute personne concernée par un traitement de données à caractère personnel réalisé dans le cadre de l'Application.

L'utilisation de l'Application sans création de compte n'exclut pas nécessairement tout traitement de données personnelles, dès lors que certaines données techniques, identifiants pseudonymisés, préférences, données de consentement, données de notification ou données de fonctionnement peuvent être nécessaires à l'accès au service, à sa sécurité, à la persistance des choix de l'utilisateur ou à la preuve des consentements.

6. Principes généraux applicables aux traitements

L'Éditeur s'engage à traiter les données personnelles des utilisateurs conformément aux principes applicables en matière de protection des données personnelles, et notamment aux principes suivants :

  • Licéité, loyauté et transparence : les données sont traitées sur une base juridique déterminée et les utilisateurs sont informés des traitements mis en œuvre ;
  • Limitation des finalités : les données sont collectées pour des finalités déterminées, explicites et légitimes ;
  • Minimisation des données : seules les données nécessaires aux finalités poursuivies sont traitées ;
  • Exactitude : l'Éditeur prend les mesures raisonnables pour que les données soient exactes et, si nécessaire, tenues à jour ;
  • Limitation de la conservation : les données sont conservées pour une durée n'excédant pas celle nécessaire aux finalités poursuivies ;
  • Intégrité et confidentialité : les données font l'objet de mesures techniques et organisationnelles appropriées ;
  • Responsabilité : l'Éditeur documente sa conformité et met en œuvre les mesures nécessaires pour respecter la réglementation applicable.

En V1, l'Application est conçue selon les principes suivants :

  • Accès à une partie substantielle des fonctionnalités sans création obligatoire de compte ;
  • Collecte nominative limitée, l'adresse e-mail n'étant demandée qu'en cas de création volontaire d'un compte ;
  • Absence de collecte de données bancaires ou de paiement par l'Éditeur ;
  • Absence de collecte de données de santé ;
  • Absence de collecte de données biométriques ;
  • Absence d'utilisation d'identifiants publicitaires de type IDFA ou GAID, sauf évolution future expressément portée à la connaissance de l'utilisateur ;
  • Absence de géolocalisation côté serveur en V1, sous réserve de validation définitive de l'architecture technique ;
  • Utilisation de la géolocalisation uniquement pour les fonctionnalités qui la nécessitent ;
  • Activation des traitements non strictement nécessaires au fonctionnement de l'Application uniquement après recueil du consentement de l'utilisateur lorsque celui-ci est requis.

7. Données personnelles traitées

L'Éditeur peut traiter différentes catégories de données personnelles selon les fonctionnalités utilisées par l'utilisateur.

7.1 Données techniques et identifiant pseudonymisé

Lors du premier lancement ou de l'utilisation de l'Application, l'Éditeur peut générer ou traiter un identifiant technique pseudonymisé de type UUID ou équivalent.

Cet identifiant peut être utilisé afin de :

  • Permettre le fonctionnement technique de l'Application ;
  • Associer certaines préférences ou données d'usage à une installation, une session ou un compte ;
  • Assurer la persistance locale de certaines données ;
  • Permettre certaines opérations de synchronisation ;
  • Gérer les choix de consentement ;
  • Prévenir certains abus ou dysfonctionnements ;
  • Assurer la sécurité et la continuité du service.

Cet identifiant n'est pas un identifiant matériel natif du terminal. Il ne constitue toutefois pas nécessairement une donnée anonyme : lorsqu'il permet d'individualiser un utilisateur, une installation, un terminal ou un usage, il est traité comme une donnée à caractère personnel pseudonymisée.

7.2 Données liées à l'utilisation fonctionnelle de l'Application

Selon les fonctionnalités utilisées, l'Éditeur peut traiter :

  • Les favoris enregistrés par l'utilisateur ;
  • Le planning personnel constitué par l'utilisateur ;
  • Les préférences de configuration ;
  • Les préférences de notification ;
  • L'état des consentements ;
  • L'état de certaines permissions accordées au niveau du terminal ;
  • Les données nécessaires à l'affichage du programme, des fiches artistes, des informations pratiques ou de la carte interactive ;
  • Les données nécessaires au fonctionnement hors connexion, notamment lorsque certaines informations sont préalablement téléchargées ou synchronisées.

7.3 Données de compte

La création d'un compte est facultative.

Lorsque l'utilisateur choisit de créer un compte, l'Éditeur peut traiter :

  • L'adresse e-mail ;
  • Les données nécessaires à l'authentification ;
  • Les données relatives à la vérification de l'adresse e-mail, notamment au moyen d'un code à usage unique lorsque cette fonctionnalité est activée ;
  • Les données relatives à la réinitialisation du mot de passe ;
  • Les données associées au compte, notamment les favoris, le planning personnel, certaines préférences ou données de synchronisation ;
  • La date de création du compte ;
  • Le cas échéant, la date de suppression du compte.

L'Éditeur ne demande pas, en V1, le nom, le prénom, l'adresse postale, la date de naissance ou le numéro de téléphone des festivaliers pour la seule création d'un compte, sauf évolution fonctionnelle ultérieure portée à la connaissance des utilisateurs.

7.4 Données de notifications

Lorsque l'utilisateur autorise les notifications au niveau du système d'exploitation de son terminal, l'Éditeur peut traiter :

  • Le token technique nécessaire à l'acheminement des notifications push ;
  • Les préférences de notification ;
  • Les données nécessaires à l'envoi ou au déclenchement de notifications liées au service ;
  • Les données relatives aux choix de l'utilisateur en matière de notifications.

Les notifications peuvent notamment porter sur des rappels liés au planning personnel, aux favoris, aux informations utiles relatives au festival ou au fonctionnement de l'Application.

7.5 Données de géolocalisation

L'Application peut requérir l'accès à la position géographique de l'utilisateur pour permettre le fonctionnement de certaines fonctionnalités liées à l'expérience festival, notamment :

  • L'affichage de la position de l'utilisateur sur la carte interactive ;
  • L'orientation de l'utilisateur au sein du site du festival ;
  • L'identification des scènes, espaces, points d'intérêt ou services situés à proximité ;
  • Le cas échéant, l'envoi de notifications ou d'informations contextuelles strictement liées au service.

La géolocalisation est utilisée localement afin d'afficher la position de l'utilisateur sur la carte lorsque celui-ci consulte l'écran concerné.

Sauf indication contraire portée à la connaissance de l'utilisateur :

  • La géolocalisation est utilisée uniquement lorsque l'Application est ouverte ou en cours d'utilisation ;
  • La position géographique n'est pas transmise aux serveurs de l'Éditeur ;
  • L'Éditeur ne constitue pas d'historique de déplacements ;
  • L'Éditeur n'utilise pas la géolocalisation à des fins publicitaires, commerciales ou de profilage ;
  • La désactivation de la géolocalisation peut rendre certaines fonctionnalités indisponibles, dégradées ou moins précises, sans empêcher nécessairement l'accès aux fonctionnalités qui ne requièrent pas la localisation.

Si l'architecture technique de l'Application évoluait de manière à entraîner une transmission, une conservation ou une analyse des données de géolocalisation par l'Éditeur ou ses prestataires, la présente Politique de Confidentialité serait mise à jour afin de préciser les finalités, les destinataires, les durées de conservation, les garanties applicables et, le cas échéant, les consentements requis.

7.6 Données de consentement

L'Éditeur peut conserver la preuve des choix exprimés par l'utilisateur, notamment :

  • La date et l'heure du choix ;
  • Le type de consentement concerné ;
  • Le statut du consentement, du refus ou du retrait ;
  • La méthode de recueil ;
  • La version de la politique de confidentialité ou de l'information applicable ;
  • Les paramètres techniques permettant de rattacher le choix à une installation, un terminal, une session ou un compte.

Ces données sont nécessaires pour respecter les obligations de transparence, démontrer la conformité des traitements et permettre à l'utilisateur de modifier ses choix.

7.7 Données analytiques et mesure d'audience

Si l'utilisateur y consent lorsque ce consentement est requis, l'Éditeur peut traiter des événements d'usage pseudonymisés à des fins de mesure d'audience, de compréhension des usages, d'amélioration du produit, d'analyse fonctionnelle et de pilotage agrégé du service.

Ces événements peuvent notamment porter sur :

  • Les écrans consultés ;
  • Les fonctionnalités utilisées ;
  • Les événements techniques liés à la navigation dans l'application ;
  • Les parcours d'utilisation ;
  • Les performances ou taux d'usage de certaines fonctionnalités ;
  • Les interactions avec les favoris, le planning, les fiches artistes ou la carte.

Ces traitements n'ont pas vocation à identifier directement l'utilisateur ni à lui adresser de la publicité ciblée.

7.8 Données de diagnostics, crash reports et support technique

Si l'utilisateur y consent lorsque ce consentement est requis, ou lorsque le traitement est strictement nécessaire à la sécurité et au bon fonctionnement de l'Application, l'Éditeur peut traiter des données techniques relatives aux crashs, erreurs, performances et dysfonctionnements, notamment :

  • Des rapports de crash ;
  • Des stack traces ;
  • Des métadonnées techniques ;
  • Des informations relatives à l'état de l'application ;
  • Des informations relatives au terminal, au système d'exploitation et à la version de l'application ;
  • Des enregistrements de session masqués lorsque cette fonctionnalité est activée ;
  • Des contenus de feedback technique transmis volontairement par l'utilisateur.

L'Éditeur s'efforce de limiter les données collectées dans ce cadre et de masquer les données personnelles ou champs sensibles lorsque les outils utilisés le permettent.

7.9 Données communiquées volontairement par l'utilisateur

Lorsque l'utilisateur utilise une fonctionnalité de contact, de support, de signalement, de feedback ou de proposition de festival, l'Éditeur peut traiter les informations volontairement transmises, notamment :

  • Le contenu d'un message ;
  • Le contenu d'un signalement ;
  • Le texte d'un feedback ;
  • Le nom d'un festival proposé ;
  • La ville ou le lieu d'un événement proposé ;
  • Une capture d'écran ou une pièce jointe ;
  • L'adresse e-mail de contact, lorsque l'utilisateur choisit de la communiquer ;
  • Toute autre information volontairement transmise par l'utilisateur.

L'utilisateur est invité à ne pas communiquer de données inutiles, excessives, sensibles ou relatives à des tiers sans motif légitime.

8. Données non collectées

En l'état actuel de l'Application, l'Éditeur ne collecte pas les données suivantes :

  • Nom et prénom des festivaliers, sauf transmission volontaire dans un message de contact ou de support ;
  • Adresse postale personnelle des utilisateurs ;
  • Numéro de téléphone des utilisateurs ;
  • Données de paiement ou données bancaires ;
  • Données de santé ;
  • Données biométriques ;
  • Contenu des communications personnelles ;
  • Données issues des réseaux sociaux, sauf interaction volontaire avec un service tiers ;
  • Identifiants publicitaires de type IDFA ou GAID ;
  • Données de géolocalisation côté serveur, sous réserve de validation définitive de l'architecture technique ;
  • Historique de déplacements ;
  • Données utilisées à des fins de publicité ciblée.

Cette liste est susceptible d'évoluer en cas de modification des fonctionnalités, de l'architecture technique ou du modèle économique de l'Application. Dans une telle hypothèse, la présente Politique de Confidentialité serait mise à jour.

9. Opérations de lecture et d'écriture sur le terminal

Certaines fonctionnalités de l'Application impliquent l'inscription ou la lecture d'informations dans le terminal de l'utilisateur, notamment afin :

  • D'assurer la persistance des préférences ;
  • De conserver les favoris et le planning personnel ;
  • De stocker ou retrouver un identifiant technique pseudonymisé ;
  • De conserver les choix de consentement ;
  • De permettre le fonctionnement hors connexion ;
  • De gérer le cache de certaines données utiles, notamment des données cartographiques ou de programmation ;
  • De permettre le fonctionnement des notifications ;
  • De maintenir la sécurité et le fonctionnement technique de l'application.

Lorsque ces opérations sont strictement nécessaires à la fourniture du service expressément demandé par l'utilisateur ou au fonctionnement de l'Application, elles peuvent être réalisées sans consentement préalable.

Lorsque ces opérations ne sont pas strictement nécessaires au service demandé, elles sont subordonnées au consentement préalable de l'utilisateur, qui peut être retiré à tout moment depuis les paramètres de l'Application ou, selon le cas, depuis les paramètres du terminal.

Les permissions accordées au niveau du système d'exploitation, notamment pour la géolocalisation ou les notifications, permettent à l'utilisateur d'autoriser ou de refuser techniquement l'accès à certaines fonctionnalités du terminal. Elles ne se substituent pas, lorsqu'il est requis, au consentement prévu par la réglementation applicable en matière de données personnelles ou de traceurs.

10. Finalités et bases juridiques des traitements

L'Éditeur traite les données personnelles des utilisateurs pour les finalités et sur les bases juridiques suivantes.

FinalitéDonnées concernéesBase juridiqueObservations
Fourniture de l'Application et de ses fonctionnalités principalesIdentifiant technique pseudonymisé, préférences, favoris, planning, données nécessaires à l'affichage des contenusExécution du contrat / intérêt légitimePermettre l'accès au service et son fonctionnement normal
Utilisation sans compteIdentifiant technique pseudonymisé, préférences, données locales, état des permissionsExécution du contrat / intérêt légitimePermettre une expérience utilisateur sans inscription obligatoire
Création et gestion du compteAdresse e-mail, données d'authentification, données de vérification, données de synchronisationExécution du contratCréation, accès, synchronisation, réinitialisation, suppression du compte
Favoris et planning personnelFavoris, planning, préférences associéesExécution du contratFonctionnalités expressément demandées par l'utilisateur
Carte interactive et géolocalisationPosition du terminal, données cartographiques, points d'intérêtExécution du contrat / permission OS / consentement lorsque requisGéolocalisation locale en V1, sous réserve de validation technique
Notifications localesFavoris, planning, préférences localesExécution du contratRappels déclenchés selon les choix de l'utilisateur
Notifications push liées au serviceToken push, préférences de notification, contenu de notificationExécution du contrat / intérêt légitime / permission OSNotifications utilitaires liées au service ou à l'expérience festival
Notifications commerciales ou partenaires, le cas échéantToken push, préférences, données de ciblage éventuellement nécessairesConsentementNon prévues en V1 sauf information et consentement spécifiques
Analytics et mesure d'audienceÉvénements d'usage pseudonymisés, données de parcours, données fonctionnellesConsentement lorsque requisMesure d'audience, amélioration produit, statistiques agrégées
Diagnostics, crash reports et amélioration techniqueLogs techniques, stack traces, métadonnées, rapports de crash, données de session masquéesConsentement lorsque requis / intérêt légitime pour la sécurité et la correction d'anomalies critiquesStabilité, sécurité, correction des dysfonctionnements
Support, signalements et feedbacksContenus transmis volontairement, e-mail éventuel, captures, commentairesIntérêt légitime / exécution de mesures précontractuelles ou contractuellesRéponse aux demandes, traitement des signalements, amélioration du service
Gestion des consentementsHistorique des choix, horodatage, version applicable, statut des consentementsObligation légale / intérêt légitimeDémonstration de conformité et gestion des préférences
Sécurité, prévention des abus et défense des droitsDonnées techniques, logs, éléments de preuve, données de compteIntérêt légitime / obligation légalePrévenir les abus, traiter les incidents, préserver les droits de l'Éditeur
Réponse aux demandes d'exercice de droitsDonnées d'identification, demande, échanges, justificatifs éventuelsObligation légale / intérêt légitimeGestion des demandes RGPD et preuve du traitement de la demande

Lorsque l'Éditeur fonde un traitement sur son intérêt légitime, l'utilisateur peut, dans les conditions prévues par la réglementation applicable, s'opposer au traitement pour des raisons tenant à sa situation particulière, sauf si l'Éditeur justifie de motifs légitimes et impérieux prévalant sur les intérêts, droits et libertés de l'utilisateur.

11. Notifications

L'Application peut générer des notifications locales ou des notifications push.

11.1 Notifications locales

Les notifications locales sont générées directement par l'Application sur le terminal de l'utilisateur, notamment en fonction de ses favoris, de son planning personnel ou de ses choix de configuration.

Elles ont une finalité utilitaire et fonctionnelle.

11.2 Notifications push

Les notifications push sont acheminées vers le terminal de l'utilisateur via les services techniques des systèmes d'exploitation mobiles, notamment Apple Push Notification service (APNs) et Firebase Cloud Messaging (FCM).

Lorsque l'utilisateur autorise les notifications au niveau du système d'exploitation, l'Éditeur peut traiter le token technique nécessaire à l'acheminement de ces notifications.

Les notifications push ont une finalité factuelle, utilitaire et liée au service, notamment :

  • Information utile relative au festival ;
  • Rappel lié à un favori ou à un événement du planning ;
  • Information liée au fonctionnement de l'application ;
  • Information contextuelle liée à l'expérience festival, lorsque cette fonctionnalité est disponible.

11.3 Notifications commerciales ou partenaires

L'Éditeur n'adresse pas de notifications publicitaires, commerciales ou partenaires sans consentement spécifique de l'utilisateur.

Si l'Application devait ultérieurement proposer des notifications commerciales, sponsorisées ou partenaires, l'utilisateur en serait informé préalablement et pourrait y consentir ou s'y opposer selon les modalités prévues par la réglementation applicable.

L'utilisateur peut à tout moment modifier ses préférences de notification depuis l'Application ou depuis les réglages de son terminal, selon les cas.

12. Géolocalisation

L'accès à la position géographique de l'utilisateur est utilisé uniquement pour les fonctionnalités de l'Application qui nécessitent cette information.

L'utilisateur peut, à tout moment, autoriser, limiter, suspendre ou désactiver l'accès de l'Application à sa localisation depuis les paramètres de son terminal, dans les conditions proposées par le système d'exploitation utilisé.

En cas de refus, de désactivation ou de limitation de l'accès à la géolocalisation, certaines fonctionnalités de l'Application peuvent être indisponibles, dégradées ou moins précises, notamment :

  • L'affichage de la position de l'utilisateur sur la carte interactive ;
  • L'orientation au sein du site du festival ;
  • L'identification des points d'intérêt situés à proximité ;
  • Certaines notifications ou informations contextuelles liées à la localisation.

Les fonctionnalités ne nécessitant pas l'accès à la localisation demeurent accessibles, sous réserve de leur disponibilité technique.

La géolocalisation n'est pas transmise aux serveurs de l'Éditeur, n'est pas conservée par l'Éditeur et ne donne pas lieu à la constitution d'un historique de déplacements.

L'Éditeur n'utilise pas la géolocalisation à des fins publicitaires, commerciales ou de profilage.

13. Destinataires des données et sous-traitants

Les données personnelles traitées dans le cadre de l'Application peuvent être accessibles, dans la limite de leurs attributions respectives :

  • Aux personnes habilitées au sein de la structure de l'Éditeur ;
  • Aux prestataires techniques agissant pour le compte de l'Éditeur ;
  • Aux sous-traitants intervenant notamment pour l'hébergement, l'authentification, le stockage, l'analytics, le crash reporting, les notifications ou la cartographie ;
  • Aux autorités administratives, judiciaires ou de contrôle, uniquement lorsque la loi l'exige ou lorsque cela est nécessaire à la défense des droits de l'Éditeur.

L'Éditeur ne vend pas les données personnelles des utilisateurs.

13.1 Sous-traitants techniques identifiés

À la date de la présente Politique de Confidentialité, les principaux sous-traitants ou prestataires techniques identifiés sont les suivants :

Sous-traitantServiceLocalisationGaranties
Supabase, Inc.Hébergement de la base de données et diffusion des contenus du festival (programme, artistes, informations pratiques)Union européenneAccord de traitement des données (art. 28 RGPD) ; clauses contractuelles types le cas échéant
Functional Software, Inc. (Sentry)Rapports de crash, diagnostics et suivi des performancesDonnées hébergées dans l'Union européenne (Allemagne) ; société établie aux États-UnisEU-U.S. Data Privacy Framework ; clauses contractuelles types ; accord de traitement des données
PostHog, Inc.Mesure d'audience et statistiques d'usage (analytics), gestion des feature flagsDonnées hébergées dans l'Union européenne (instance PostHog EU) ; société établie aux États-UnisClauses contractuelles types ; accord de traitement des données
Mapbox, Inc.Fonds de carte et rendu cartographique de la carte interactiveÉtats-UnisEU-U.S. Data Privacy Framework ; clauses contractuelles types

L'Éditeur veille à ne recourir qu'à des prestataires présentant des garanties suffisantes au regard de la réglementation applicable et encadre, lorsque cela est requis, leurs interventions par des accords de traitement de données conformes à l'article 28 du RGPD.

14. Services tiers accessibles depuis l'Application

Certaines fonctionnalités de l'Application peuvent intégrer, embarquer ou rediriger vers des services, contenus ou sites édités par des tiers.

À la date de la présente Politique de Confidentialité, il peut notamment s'agir, selon les fonctionnalités effectivement disponibles :

  • De services cashless, de billetterie ou de paiement accessibles en webview ou par redirection, tels que Weezevent / weezpay ;
  • De lecteurs ou contenus vidéo, tels que YouTube ;
  • De lecteurs ou contenus audio, tels que Spotify ;
  • De tout autre service tiers intégré ou accessible depuis l'Application.

Sauf indication contraire, l'Éditeur ne transmet pas directement de données personnelles à ces services tiers. En revanche, lorsque l'utilisateur accède à ces contenus ou services, les tiers concernés peuvent collecter des informations directement au moyen de leurs propres technologies, lecteurs embarqués, WebViews, cookies, traceurs, SDK ou interfaces, conformément à leurs propres politiques de confidentialité et conditions d'utilisation.

Ces services tiers sont exploités sous la responsabilité de leurs éditeurs respectifs. L'Éditeur invite l'utilisateur à consulter les politiques de confidentialité et conditions d'utilisation de ces services avant de les utiliser.

Lorsque l'Application permet d'accéder à un service de paiement, de portefeuille cashless, de billetterie ou à tout autre service transactionnel fourni par un tiers, l'Éditeur n'agit pas, sauf mention contraire, en qualité de prestataire de paiement, d'opérateur de billetterie, de vendeur, de mandataire ou de responsable des traitements directement mis en œuvre par le tiers concerné.

15. Transferts de données hors de l'Union européenne

Certaines données personnelles peuvent être transférées hors de l'Union européenne ou être accessibles depuis des pays situés hors de l'Union européenne, notamment du fait de l'intervention de certains prestataires techniques ou services tiers.

Les transferts ou accès hors Union européenne susceptibles d'être concernés peuvent notamment impliquer :

  • Mapbox, dont les services sont opérés depuis les États-Unis ;
  • Sentry et PostHog, dont les sociétés sont établies aux États-Unis, les données étant toutefois hébergées dans l'Union européenne ;
  • Certains services tiers accessibles depuis l'Application, lorsque l'utilisateur interagit avec eux.

Lorsque des transferts de données personnelles hors de l'Union européenne sont mis en œuvre par l'Éditeur ou ses sous-traitants, l'Éditeur veille à ce qu'ils soient encadrés par un mécanisme reconnu par la réglementation applicable, notamment :

  • Une décision d'adéquation de la Commission européenne ;
  • Le EU-U.S. Data Privacy Framework lorsque le destinataire y est valablement certifié ;
  • Les clauses contractuelles types adoptées par la Commission européenne ;
  • Toute autre garantie appropriée prévue par la réglementation applicable.

Le détail des garanties applicables peut être communiqué à l'utilisateur sur demande, dans la limite des informations effectivement disponibles auprès des prestataires concernés et sous réserve des obligations de confidentialité applicables.

16. Durées de conservation

L'Éditeur conserve les données personnelles pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées, sous réserve des obligations légales de conservation, des nécessités probatoires, de la sécurité du service et de la défense de ses droits.

À la date de la présente Politique de Confidentialité, les durées de conservation suivantes sont appliquées :

Catégorie de donnéesDurée de conservation activeArchivage intermédiaire / observations
Données de compteDurée de vie du compteSuppression ou anonymisation lors de la suppression du compte, sauf obligation légale, sécurité, contentieux ou défense des droits
Adresse e-mail du compteDurée de vie du compteSuppression ou anonymisation lors de la suppression du compte, sauf nécessité probatoire ou légale
Favoris et planning personnelDurée de vie du compte ou de l'installation localeSuppression lors de la suppression du compte ou des données locales, sauf anonymisation ou agrégation irréversible
Identifiant technique pseudonymiséDurée d'utilisation de l'Application ou durée nécessaire au fonctionnement du serviceSuppression, réinitialisation ou anonymisation selon les modalités techniques disponibles
Tokens pushJusqu'au retrait de l'autorisation, à la désinstallation, à l'expiration technique du token ou à la suppression du compteSuppression ou invalidation technique lorsqu'ils ne sont plus utiles
Données de géolocalisation localePas de conservation par l'Éditeur en V1, sous réserve de validation techniqueAucune conservation côté serveur en V1, sauf évolution portée à la connaissance de l'utilisateur
Historique des consentements5 ans à compter du dernier choix ou du retrait du consentementConservation probatoire à accès restreint
Analytics pseudonymisés13 mois maximum à compter de la collecte, sauf durée plus courte paramétrée dans l'outilLes statistiques agrégées et anonymisées peuvent être conservées plus longtemps
Crash reports et diagnostics techniques6 à 12 mois à compter de la collecte selon la criticité et l'outil utiliséDurée à préciser selon le paramétrage Sentry et les besoins de correction
Données de support, feedbacks et signalementsDurée de traitement de la demande, puis 3 ans à compter du dernier échangeConservation probatoire à accès restreint, sauf contentieux ou obligation légale plus longue
Logs de sécurité6 à 12 mois selon la criticitéConservation plus longue possible en cas d'incident, d'enquête, de fraude ou de contentieux
Données anonymisées ou agrégéesConservation sans limitation spécifiqueHors champ du RGPD si l'anonymisation est effective et irréversible

À l'expiration des durées applicables, les données sont supprimées, anonymisées ou archivées de manière sécurisée lorsque cette conservation est nécessaire à des fins légales, probatoires ou de défense des droits.

17. Suppression du compte et anonymisation

Lorsque l'utilisateur ayant créé un compte demande sa suppression depuis les paramètres de l'Application ou selon toute autre modalité indiquée par l'Éditeur, l'Éditeur met en œuvre un processus ayant vocation à :

  • Effacer ou anonymiser l'adresse e-mail associée au compte ;
  • Neutraliser les identifiants d'authentification ;
  • Supprimer le profil et les droits associés au compte ;
  • Supprimer ou anonymiser les données associées au compte, notamment les favoris et le planning personnel, sauf conservation légitime ;
  • Conserver les données anonymisées ou agrégées lorsque cela est légitime ;
  • Permettre, le cas échéant, la poursuite d'un usage de l'application en mode anonyme si l'utilisateur continue à utiliser l'application.

La suppression du compte n'emporte pas nécessairement effacement immédiat de toute donnée si certaines informations doivent être conservées à des fins légales, de sécurité, de prévention des abus, de preuve ou de défense des droits.

Lorsque des données sont anonymisées, l'Éditeur veille à ce que l'anonymisation soit effective, irréversible et empêche toute réidentification raisonnablement possible.

18. Sécurité des données

L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées afin d'assurer un niveau de sécurité adapté au risque présenté par les traitements, notamment en matière de confidentialité, d'intégrité, de disponibilité et de résilience des systèmes et services.

Ces mesures peuvent notamment comprendre :

  • L'utilisation de canaux de transmission chiffrés ;
  • Le stockage sécurisé des identifiants locaux dans des espaces protégés du terminal lorsque cela est techniquement possible ;
  • Le contrôle des accès aux outils et bases de données ;
  • La limitation des accès aux seules personnes habilitées ;
  • La journalisation de certains accès ou opérations techniques lorsque cela est nécessaire ;
  • Le masquage de certaines données personnelles dans les outils de diagnostics lorsque cette fonctionnalité est disponible ;
  • La désactivation de la télémétrie non nécessaire lorsque cette désactivation est possible ;
  • La mise en œuvre de sauvegardes, mesures de supervision, procédures de correction et mesures de continuité adaptées ;
  • L'encadrement contractuel des prestataires et sous-traitants.

L'utilisateur contribue également à la sécurité de ses données en protégeant son terminal, son adresse e-mail, ses identifiants et, le cas échéant, son mot de passe.

Aucune méthode de transmission ou de stockage ne permettant de garantir une sécurité absolue, l'Éditeur ne peut garantir une sécurité parfaite en toutes circonstances. L'Éditeur s'engage toutefois à traiter les incidents de sécurité conformément à la réglementation applicable.

19. Violations de données personnelles

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'Éditeur notifiera la violation à la CNIL dans les conditions et délais prévus par la réglementation applicable.

Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, l'Éditeur informera également les personnes concernées dans les conditions prévues par la réglementation applicable.

L'Éditeur documente les violations de données personnelles dans un registre interne des violations.

20. Droits des personnes concernées

Conformément à la réglementation applicable, toute personne concernée dispose, sous réserve des conditions et limites prévues par les textes, des droits suivants :

DroitDescription
Droit d'accèsObtenir la confirmation que des données personnelles sont ou ne sont pas traitées et, lorsqu'elles le sont, obtenir l'accès à ces données et aux informations relatives au traitement
Droit de rectificationDemander la rectification de données inexactes ou incomplètes
Droit à l'effacementDemander l'effacement de ses données dans les cas prévus par la réglementation applicable
Droit à la limitation du traitementDemander la suspension temporaire de certains traitements dans les cas prévus par la réglementation applicable
Droit à la portabilitéRecevoir certaines données dans un format structuré, couramment utilisé et lisible par machine, lorsque ce droit est applicable
Droit d'oppositionS'opposer à certains traitements fondés sur l'intérêt légitime, pour des raisons tenant à sa situation particulière
Droit de retrait du consentementRetirer son consentement à tout moment lorsque le traitement est fondé sur le consentement, sans que ce retrait ne compromette la licéité du traitement réalisé avant le retrait
Droit de définir des directives post-mortemDéfinir des directives relatives au sort de ses données personnelles après son décès, dans les conditions prévues par le droit français
Droit d'introduire une réclamation auprès de la CNILSaisir l'autorité de contrôle compétente en cas de difficulté relative au traitement de ses données personnelles

21. Droit d'opposition

Le droit d'opposition est porté à l'attention de l'utilisateur de manière spécifique.

Lorsque le traitement est fondé sur l'intérêt légitime de l'Éditeur, l'utilisateur peut s'y opposer à tout moment pour des raisons tenant à sa situation particulière.

Dans ce cas, l'Éditeur cesse le traitement concerné, sauf s'il démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, droits et libertés de l'utilisateur, ou si le traitement est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.

Lorsque des traitements de prospection commerciale seraient mis en œuvre, l'utilisateur disposerait du droit de s'y opposer à tout moment, sans avoir à justifier d'un motif.

L'Éditeur n'a pas vocation à utiliser les données des utilisateurs à des fins de prospection commerciale directe, sauf information contraire et recueil des consentements ou oppositions applicables.

22. Exercice des droits

Pour exercer ses droits ou poser toute question relative au traitement de ses données personnelles, l'utilisateur peut contacter l'Éditeur :

La demande doit préciser le droit exercé, les données ou traitements concernés et les éléments permettant à l'Éditeur de traiter utilement la demande.

Lorsque cela est nécessaire, l'Éditeur peut demander à l'utilisateur des informations complémentaires afin de vérifier son identité ou de comprendre sa demande, dans la mesure strictement nécessaire.

L'Éditeur répondra à la demande dans les meilleurs délais et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande complète.

Ce délai peut être prolongé de deux mois lorsque la complexité ou le nombre de demandes le justifie. Dans ce cas, l'Éditeur informera l'utilisateur de cette prolongation et des motifs du report dans le délai initial d'un mois.

L'utilisateur dispose également du droit d'introduire une réclamation auprès de la CNIL :

Commission nationale de l'informatique et des libertés (CNIL)
3 Place de Fontenoy – TSA 80715
75334 Paris Cedex 07
Site internet : www.cnil.fr

Le droit d'introduire une réclamation auprès de la CNIL ne prive pas l'utilisateur du droit d'exercer tout recours juridictionnel utile.

23. Gestion des consentements

Lorsque le consentement de l'utilisateur est requis, l'Éditeur le recueille au moyen d'un mécanisme dédié, distinct de l'acceptation générale des CGU.

À la date de la présente Politique de Confidentialité, l'Éditeur prévoit notamment :

  • L'absence de case précochée ;
  • La possibilité d'accepter, de refuser ou de personnaliser les choix lorsque plusieurs finalités sont concernées ;
  • Des choix distincts pour les analytics et les diagnostics lorsque ces traitements ne sont pas strictement nécessaires ;
  • La possibilité de retirer son consentement à tout moment depuis les paramètres de l'application ;
  • La conservation d'une preuve du consentement, du refus ou du retrait.

Le retrait du consentement ne remet pas en cause la licéité des traitements réalisés antérieurement au retrait.

Lorsque l'utilisateur retire son consentement à un traitement analytics ou diagnostic, l'Éditeur cesse, pour l'avenir, les traitements concernés dans les conditions techniquement applicables et procède, lorsque cela est possible, à la purge des événements non encore envoyés.

24. Mineurs

L'utilisation de l'Application est réservée aux personnes âgées d'au moins quinze (15) ans.

L'Éditeur n'a pas vocation à collecter sciemment des données personnelles auprès d'utilisateurs âgés de moins de quinze (15) ans.

Si l'Éditeur constate qu'un compte a été créé ou que l'Application est utilisée en méconnaissance de cette condition d'âge, il pourra prendre toute mesure utile, y compris la suppression du compte concerné ou la limitation de l'accès à certaines fonctionnalités, sous réserve des vérifications nécessaires.

Lorsque le consentement au traitement de données personnelles est requis pour un utilisateur âgé de moins de quinze (15) ans, ce traitement ne peut, en principe, intervenir que dans les conditions prévues par la réglementation applicable aux mineurs et aux titulaires de l'autorité parentale.

25. Modifications de la Politique de Confidentialité

L'Éditeur se réserve le droit de modifier la présente Politique de Confidentialité, notamment afin de :

  • Tenir compte d'une évolution légale, réglementaire ou jurisprudentielle ;
  • Refléter une évolution des fonctionnalités de l'application ;
  • Tenir compte d'un changement de prestataire, de sous-traitant ou de service tiers ;
  • Préciser les traitements effectivement mis en œuvre ;
  • Améliorer la clarté, la précision ou l'accessibilité de l'information fournie aux utilisateurs.

La version applicable est celle en vigueur au moment de l'utilisation de l'Application.

En cas de modification substantielle, l'Éditeur pourra en informer les utilisateurs par tout moyen approprié, notamment par notification dans l'Application, message dédié ou, pour les utilisateurs disposant d'un compte, par e-mail.

Lorsque la modification implique un traitement reposant sur le consentement de l'utilisateur, l'Éditeur sollicitera, le cas échéant, un nouveau consentement.

26. Contact

Pour toute question relative à la présente Politique de Confidentialité ou au traitement des données personnelles dans le cadre de l'Application, l'utilisateur peut contacter l'Éditeur :

Adresse mail : contact+xtremefest-app@wtsh.io

Adresse postale : communiquée sur demande.

← Retour à l'accueil