Politique de confidentialité
Dernière mise à jour : 21 mai 2026
La présente politique décrit comment l'application mobile Clatch (ci-après « Clatch » ou « l'application ») collecte, utilise et protège tes données personnelles, conformément au Règlement général sur la protection des données (RGPD, Règlement UE 2016/679), à la Loi française n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » modifiée, et aux recommandations de la Commission nationale de l'informatique et des libertés (CNIL).
1. Éditeur
Clatch est éditée par :
- Dénomination : Louca Mendy
- Nom commercial : xam-xam lab
- Forme juridique : Entrepreneur individuel
- SIREN : 104603030
- Siège : 5 rue Edmond Gondinet, 75013 Paris, France
- Adresse électronique de contact : support@clatch-app.com
1bis. Hébergeur du site clatch-app.com
Conformément à l'article 6-III de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), l'hébergeur du site web clatch-app.com est :
- Dénomination : Vercel Inc.
- Adresse : 440 N Barranca Ave #4133, Covina, CA 91723, États-Unis
- Téléphone : +1 (559) 288-7060
- Site : https://vercel.com
2. Responsable de traitement
Le responsable de traitement au sens de l'article 4.7 du RGPD est l'éditeur identifié à la section 1.
L'éditeur n'est pas tenu de désigner un délégué à la protection des données (DPO) au titre de l'article 37 du RGPD. Toute question relative à tes données personnelles peut être adressée à : support@clatch-app.com.
3. Données collectées, finalités et bases légales
Conformément aux articles 13 et 14 du RGPD, nous t'informons des catégories de données traitées :
3.1 Données de compte
- Pseudonyme, adresse électronique (ou adresse de relais privé Apple), identifiant interne anonyme.
- Finalité : création et gestion de ton compte, authentification, communication transactionnelle.
- Base légale : exécution du contrat (article 6.1.b du RGPD).
3.2 Données de préférences sportives
- Club préféré, sport préféré.
- Finalité : personnalisation du contenu de quizz.
- Base légale : exécution du contrat (article 6.1.b du RGPD).
3.3 Données de jeu et de progression
- Trophées, niveau, progression par sport, historique des parties solo.
- Finalité : suivi de la progression, classements, déblocages de paliers.
- Base légale : exécution du contrat (article 6.1.b du RGPD).
3.4 Contenus générés par les utilisateurs (UGC)
- Soumissions de questions, signalements de contenus.
- Finalité : enrichissement éditorial et modération (article 16 du Règlement UE 2022/2065 dit « DSA »).
- Base légale : exécution du contrat (article 6.1.b du RGPD) et intérêt légitime (article 6.1.f du RGPD) pour la modération.
3.5 Consentements
- Horodatage et version des consentements (CGU, politique de confidentialité, parental).
- Finalité : preuve de consentement.
- Base légale : obligation légale (article 6.1.c du RGPD).
3.6 Données techniques et d'usage
- Événements anonymisés d'utilisation (15 événements spécifiés, identifiant anonyme PostHog), journaux d'erreurs Sentry.
- Finalité : amélioration de l'application, détection d'incidents.
- Base légale : intérêt légitime (article 6.1.f du RGPD).
3.7 Données NON collectées
Nous ne collectons pas : nom, prénom, adresse postale, numéro de téléphone, données de paiement (intégralement gérées par Apple et Google via les achats intégrés), géolocalisation précise.
3.8 Modération automatisée des pseudos
Pour protéger nos utilisateurs et respecter nos obligations légales (article 14 du règlement européen sur les services numériques — DSA, et la directive 2.3 de l'App Store Review Guideline d'Apple), les pseudonymes choisis lors de la création de compte sont analysés à la création par un service de modération automatique afin de détecter le contenu objectionable (haine, harcèlement ciblé, contenu sexuel impliquant des mineurs, etc.).
- Finalité : prévention du harcèlement, conformité légale UGC (DSA art. 14 + Apple 1.2).
- Base légale : intérêt légitime au sens de l'article 6.1.f du RGPD — protection de l'intégrité du service et de ses utilisateurs.
- Sous-traitant : OpenAI Inc. (États-Unis), via l'API de modération omni-moderation-latest.
- Le pseudonyme analysé n'est pas conservé par OpenAI au-delà de l'analyse instantanée, conformément à sa politique d'utilisation des données API.
- Aucune décision automatisée produisant des effets juridiques au sens de l'article 22 du RGPD : un pseudonyme rejeté peut être remplacé librement par un autre choix de l'utilisateur.
4. Destinataires et sous-traitants
Tes données sont accessibles à l'éditeur et aux sous-traitants suivants, encadrés par un accord de traitement des données (DPA) au sens de l'article 28 du RGPD :
- Supabase Inc. — hébergement base de données et authentification, région UE (Francfort).
- Resend Inc. — envoi d'emails transactionnels, instance UE.
- PostHog Inc. (États-Unis) — analytique produit, instance PostHog Cloud EU (Francfort), transfert encadré par les Clauses contractuelles types (décision CE 2021/914).
- Functional Software Inc. (Sentry, États-Unis) — supervision des erreurs, instance UE, transfert encadré par les Clauses contractuelles types (décision CE 2021/914).
- Apple Inc. — authentification Apple Sign-In, achats intégrés, notifications push (APNs).
- Google LLC — authentification Google Sign-In Android, facturation Play, notifications push (FCM).
- OpenAI Inc. — modération automatisée des pseudonymes lors de la création de compte (cf. section 3.8), instance États-Unis, transfert encadré par les Clauses contractuelles types (décision CE 2021/914).
- Vercel Inc. — hébergement du site web statique
clatch-app.com, distribution CDN multi-régions (instance EU et US), transfert encadré par les Clauses contractuelles types (décision CE 2021/914).
5. Transferts hors Union européenne
Le stockage principal de tes données est réalisé dans l'Union européenne. Les services d'authentification Apple et Google, les services push (APNs, FCM) et la modération automatisée des pseudonymes par OpenAI Inc. peuvent impliquer un transfert encadré par les Clauses contractuelles types adoptées par la Commission européenne (décision 2021/914), conformément à l'article 46 du RGPD.
6. Durée de conservation
- Compte actif : tes données sont conservées tant que ton compte est actif.
- Suppression de compte : effacement effectif dans les meilleurs délais et au plus tard sous 30 jours à compter de ta demande, conformément à l'article 17 du RGPD.
- Journaux d'audit (modération, sécurité) : 6 mois.
- Données de facturation Apple/Google : conservées par Apple et Google selon leurs politiques.
7. Tes droits
Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :
- Droit d'accès (article 15).
- Droit de rectification (article 16).
- Droit à l'effacement (article 17).
- Droit à la limitation du traitement (article 18).
- Droit à la portabilité (article 20).
- Droit d'opposition (article 21).
Tu peux exercer ces droits directement depuis l'application via le menu Profil → Données personnelles, ou en écrivant à support@clatch-app.com. Une réponse te sera apportée dans un délai d'un mois (article 12.3 du RGPD).
Tu disposes également du droit d'introduire une réclamation auprès de la CNIL via le portail des plaintes CNIL.
8. Cookies et traceurs
L'application mobile Clatch n'utilise pas de cookies. Elle utilise un identifiant anonyme PostHog stocké localement sur l'appareil, sans corrélation avec ton identité civile.
Le site web clatch-app.com peut utiliser des cookies strictement nécessaires au fonctionnement de la session, sans finalité publicitaire ni mesure d'audience tierce.
9. Sécurité
Les communications entre l'application et les serveurs sont chiffrées par TLS 1.2 ou supérieur. L'accès aux données en base est protégé par des politiques Row Level Security (RLS) Supabase. Les journaux d'audit sont conservés 6 mois.
10. Modification de la politique
La présente politique peut être modifiée à tout moment. Toute modification substantielle sera notifiée dans l'application. La date de dernière mise à jour figure en tête du document.
11. Contact et réclamation
- Contact éditeur : support@clatch-app.com
- Contact Trust & Safety : safety@clatch-app.com
- Autorité de contrôle : Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris, cnil.fr.