Politique de Confidentialité — Urbex Legends
Version 2.0 — Entrée en vigueur : 4 juin 2026
Document officiel en français (version faisant foi). English version provided below for information.
PARTIE 1 — VERSION FRANÇAISE (officielle)
1. Responsable du traitement
LARUE Vincent, entrepreneur individuel (auto-entrepreneur) SIRET : 892 162 363 00014 Email de contact : urbex.legends.app@gmail.com
L'adresse postale du dirigeant exerçant en nom propre à son domicile personnel n'est pas affichée publiquement afin de préserver sa vie privée, conformément à la pratique recommandée par la CNIL pour les entrepreneurs individuels exerçant à domicile. Elle reste communicable à toute autorité publique compétente (notamment CNIL, juridictions, administration fiscale) sur réquisition formelle, ainsi qu'à toute personne justifiant d'un intérêt légitime, par demande motivée à l'adresse email ci-dessus.
Au sens du Règlement (UE) 2016/679 (« RGPD ») et de la loi n°78-17 du 6 janvier 1978 modifiée (loi « Informatique et Libertés »), LARUE Vincent agit en qualité de Responsable du traitement pour les données à caractère personnel traitées dans le cadre de l'application mobile « Urbex Legends » (l'« Application »).
L'Éditeur n'est pas tenu de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD, les traitements mis en œuvre ne relevant pas des hypothèses visées audit article. L'Utilisateur peut néanmoins contacter directement le Responsable du traitement à l'adresse ci-dessus pour toute question relative à la protection de ses données.
2. Champ d'application
La présente Politique de Confidentialité s'applique à tous les traitements de données à caractère personnel mis en œuvre dans le cadre de l'Application, qu'elle soit utilisée en mode invité ou avec un compte.
Elle ne s'applique pas aux traitements opérés par les Stores (Apple App Store, Google Play Store), les opérateurs de paiement, ou tout site tiers vers lequel un lien renverrait depuis l'Application. Ces traitements relèvent des politiques de confidentialité de leurs opérateurs respectifs.
En utilisant l'Application, l'Utilisateur reconnaît avoir pris connaissance de la présente Politique de Confidentialité.
3. Données à caractère personnel collectées
3.1 Données fournies par l'Utilisateur lors de son inscription et de son utilisation
| Catégorie | Données | Caractère obligatoire |
|---|---|---|
| Identification | Adresse email | Obligatoire pour création de Compte |
| Authentification | Mot de passe haché (algorithme bcrypt côté Supabase) ou identifiant OAuth (Google, Apple) |
Obligatoire pour création de Compte |
| Profil public | Pseudonyme | Obligatoire pour création de Compte |
| Profil public | Avatar (illustration vectorielle générée — Fluttermoji) | Optionnel |
| Profil public | Pays, région, zone d'exploration préférée | Optionnel |
| Profil public | Biographie (max. 280 caractères) | Optionnel |
| Contenu | Photographies, descriptions, commentaires, avis, soumissions de spots | Optionnel |
| Communication | Messages échangés avec le support utilisateur | Optionnel |
| Préférences | Réglages de notification, préférences linguistiques, opt-in marketing | Optionnel |
3.2 Données collectées automatiquement lors de l'usage
| Catégorie | Données | Finalité |
|---|---|---|
| Technique | Type de terminal, modèle, OS, version OS, version de l'App, locale système | Compatibilité, optimisation, debugging |
| Technique | Adresse IP de session (transitoire) | Sécurité, prévention de fraude, conformité LCEN |
| Technique | Identifiant unique d'installation (généré aléatoirement, sans lien avec un identifiant matériel non-réinitialisable) | Notifications push, lutte contre la fraude |
| Géolocalisation | Position GPS approximative ou précise, selon le niveau d'autorisation accordé par l'Utilisateur | Affichage de la carte centrée, suggestions de spots à proximité, filtres marketplace |
| Usage | Écrans consultés, actions effectuées (taps, scrolls), durée de session, parcours fonctionnels | Analytique produit, amélioration ergonomie, optimisation des conversions |
| Crash & erreurs | Stack traces, contexte applicatif, version, OS, état mémoire | Stabilité, debugging, sécurité |
| Commerce | Historique des achats in-app (références produits, dates, montants, statuts d'abonnement) | Gestion du Compte, support, comptabilité, lutte contre la fraude |
| Modération | Signalements émis et reçus, sanctions appliquées, journaux d'audit | Sécurité de la communauté, traitement des signalements |
3.3 Données non collectées
L'Application ne collecte pas :
- de données bancaires (cartes, IBAN) — toutes les transactions sont gérées par les Stores ;
- de données biométriques ;
- d'enregistrements sonores ou vidéo continus ;
- de contenus de la galerie photo en dehors de ceux explicitement choisis par l'Utilisateur ;
- de données du carnet d'adresses ou de la liste de contacts ;
- de données issues d'autres applications installées sur le terminal.
3.4 Données sensibles (article 9 RGPD)
L'Application ne collecte ni ne traite aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques d'identification, données de santé, vie sexuelle ou orientation sexuelle).
L'Utilisateur s'engage à ne pas publier dans l'Application de données sensibles concernant lui-même ou des tiers via les fonctionnalités de Contenus.
3.5 Décisions automatisées et profilage
L'Application n'effectue aucune décision automatisée produisant des effets juridiques ou affectant l'Utilisateur de manière significative au sens de l'article 22 du RGPD. Le contenu personnalisé (recommandations de spots à proximité, suggestions « pour vous ») est généré à partir de signaux non sensibles (pays, région, zone d'exploration choisie, historique de navigation in-app) et reste modifiable par l'Utilisateur via ses préférences.
4. Finalités et bases légales du traitement
Chaque traitement est fondé sur l'une des bases légales prévues à l'article 6 du RGPD :
4.1 Fourniture du service — Exécution du contrat (art. 6.1.b RGPD)
- Création et gestion du Compte ;
- Authentification et maintien des sessions ;
- Fourniture des fonctionnalités principales (consultation de spots, soumissions, feed, marketplace, événements communautaires) ;
- Traitement des achats in-app et gestion des Abonnements ;
- Affichage de contenus personnalisés ;
- Communication transactionnelle (confirmations d'achat, réinitialisations de mot de passe, notifications de sécurité) ;
- Support client.
4.2 Intérêts légitimes du Responsable du traitement (art. 6.1.f RGPD)
- Sécurité de l'Application et lutte contre la fraude (détection de comportements suspects, prévention des attaques, lutte contre les chargebacks frauduleux, lutte contre les comptes multiples) ;
- Modération des Contenus pour préserver la qualité de la communauté ;
- Conformité aux politiques des Stores ;
- Analyse statistique non-identifiante des usages aux fins d'amélioration du service ;
- Reporting crash et debugging (avec données techniques minimisées).
Pour chacun de ces traitements, l'Éditeur a procédé à une mise en balance entre ses intérêts légitimes et les droits et libertés des Utilisateurs, et estime que ces intérêts ne portent pas atteinte de manière disproportionnée auxdits droits.
4.3 Consentement (art. 6.1.a RGPD)
- Activation de la géolocalisation, requise au niveau du système d'exploitation (iOS / Android) ;
- Envoi de notifications push (opt-in OS et opt-in applicatif) ;
- Envoi d'emails marketing (opt-in explicite séparé) ;
- Analytique produit comportementale détaillée, le cas échéant.
L'Utilisateur peut retirer son consentement à tout moment, sans que cela n'affecte la licéité des traitements effectués avant le retrait. Les modalités de retrait sont indiquées au § 8.7.
4.4 Obligations légales (art. 6.1.c RGPD)
- Conservation des données comptables et fiscales relatives aux achats in-app, conformément au Code de commerce et au Code général des impôts ;
- Conservation des journaux de connexion conformément à l'article L. 34-1 du Code des postes et des communications électroniques (LCEN) ;
- Réponses aux réquisitions judiciaires et demandes des autorités compétentes ;
- Conservation des preuves nécessaires à la défense des droits de l'Éditeur en cas de litige.
5. Géolocalisation
5.1 Finalités
L'Application utilise la géolocalisation pour :
- afficher les spots situés à proximité sur la carte ;
- centrer automatiquement la carte sur la position de l'Utilisateur ;
- proposer des contenus pertinents géographiquement (suggestions, événements locaux) ;
- filtrer la marketplace par proximité (le cas échéant).
5.2 Consentement et révocabilité
L'accès à la géolocalisation est conditionné à un consentement explicite de l'Utilisateur via la boîte de dialogue système (iOS / Android). L'Utilisateur peut à tout moment révoquer ce consentement via les paramètres de son terminal, sans que cela n'affecte la possibilité d'utiliser le reste de l'Application.
5.3 Précision
L'Utilisateur peut choisir, au niveau du système, entre une localisation approximative (de l'ordre du quartier ou de la ville) et une localisation précise (de l'ordre de quelques mètres). Cette précision est ajustable à tout moment.
5.4 Géolocalisation en arrière-plan
L'Application ne collecte pas de données de géolocalisation en arrière-plan (c'est-à-dire lorsque l'Application n'est pas activement utilisée par l'Utilisateur). Si un usage en arrière-plan venait à être introduit ultérieurement, un consentement explicite séparé serait requis.
5.5 Coordonnées de Rue
L'Application affiche et permet le partage de coordonnées géographiques de lieux d'intérêt. Conformément aux CGU, ces coordonnées pointent exclusivement sur la voie publique en proximité immédiate du lieu, et non sur la propriété privée elle-même.
6. Destinataires des données et sous-traitants
6.1 Sous-traitants au sens de l'article 28 RGPD
L'Éditeur recourt aux prestataires suivants pour la fourniture de l'Application. Chaque prestataire est lié à l'Éditeur par un contrat de sous-traitance conforme à l'article 28 RGPD et offre des garanties suffisantes en matière de protection des données.
| Sous-traitant | Finalité du traitement | Localisation principale des données | Politique de confidentialité |
|---|---|---|---|
| Supabase Inc. | Hébergement backend (authentification, base de données PostgreSQL, stockage objets, edge functions) | Union Européenne (Francfort, Allemagne) | https://supabase.com/privacy |
| RevenueCat Inc. | Gestion technique des achats in-app, des abonnements et des webhooks de facturation | États-Unis (avec option de résidence UE selon plan) | https://www.revenuecat.com/privacy |
| OneSignal Inc. | Envoi de notifications push | États-Unis et Union Européenne | https://onesignal.com/privacy_policy |
| Sentry (Functional Software, Inc.) | Collecte et agrégation des rapports de crash | Union Européenne (Francfort, Allemagne) | https://sentry.io/privacy |
| PostHog Inc. | Analytique produit | Union Européenne (Francfort, Allemagne) | https://posthog.com/privacy |
| Resend Inc. | Envoi d'emails transactionnels et, le cas échéant, marketing | États-Unis | https://resend.com/legal/privacy-policy |
| Cloudflare, Inc. | Couche de protection réseau, CDN, hébergement de pages web liées à l'authentification | Réseau mondial avec routage proximité | https://www.cloudflare.com/privacypolicy |
| OpenFreeMap / MapLibre | Fourniture de tuiles cartographiques | Union Européenne | https://openfreemap.org |
| Apple Inc. | Distribution iOS, traitement des achats in-app iOS, authentification Apple, notifications APNS | États-Unis | https://www.apple.com/legal/privacy |
| Google LLC | Distribution Android, traitement des achats in-app Android, authentification Google, notifications FCM | États-Unis et Union Européenne | https://policies.google.com/privacy |
6.2 Transferts hors Union Européenne
Certains sous-traitants (notamment RevenueCat, Apple, Google, Resend, Cloudflare) sont susceptibles de traiter des données hors de l'Union Européenne, principalement aux États-Unis. Ces transferts sont encadrés par :
- les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), incluses dans les contrats avec ces sous-traitants ;
- le cas échéant, la décision d'adéquation de la Commission Européenne du 10 juillet 2023 (cadre Data Privacy Framework UE-États-Unis), lorsque le sous-traitant y est certifié ;
- des mesures supplémentaires post-arrêt « Schrems II » (CJUE, 16 juillet 2020, C-311/18) : chiffrement en transit (TLS 1.2+), pseudonymisation lorsque cela est techniquement possible, minimisation des données transférées, contrôles d'accès stricts.
L'Utilisateur peut obtenir une copie des garanties applicables aux transferts en s'adressant à urbex.legends.app@gmail.com.
6.3 Partage public au sein de l'Application
Certaines données du Compte sont visibles publiquement par les autres Utilisateurs au sein de l'Application :
- pseudonyme, avatar, pays, région ;
- statistiques de profil (niveau, badges, nombre de spots débloqués, nombre d'explorations partagées) ;
- Contenus publiés (photographies, descriptions, commentaires, avis).
L'Utilisateur peut ajuster la visibilité de certains éléments via les Paramètres, dans la mesure où la fonctionnalité le permet.
6.4 Communication à des tiers / autorités
L'Éditeur peut être amené à communiquer des données à caractère personnel à un tiers :
- en exécution d'une obligation légale ou réglementaire ;
- en réponse à une réquisition judiciaire ou administrative (police, gendarmerie, autorité judiciaire, autorité fiscale) ;
- dans le cadre de la défense des droits de l'Éditeur ;
- en cas de cession, fusion, scission ou réorganisation de l'activité, sous réserve d'engagements équivalents par le repreneur.
L'Éditeur ne procède à aucune vente de données à caractère personnel à des tiers et n'autorise leur usage par des tiers à des fins de prospection commerciale qu'avec le consentement explicite préalable de l'Utilisateur concerné.
7. Durées de conservation
Les données sont conservées pour la durée strictement nécessaire à la finalité poursuivie, conformément au principe de limitation de la conservation (art. 5.1.e RGPD).
| Catégorie de données | Durée de conservation active | Durée d'archivage post-suppression |
|---|---|---|
| Données de Compte (profil, préférences) | Durée de vie du Compte | 30 jours en archive technique (pour récupération en cas d'erreur), puis suppression définitive |
| Contenus publiés (photos, commentaires, soumissions) | Durée de vie du Compte | 30 jours en archive technique, puis suppression définitive — sauf preuves d'infractions ou litiges en cours |
| Comptes inactifs (aucune activité 24 mois) | Notification de réactivation, puis suppression à 24 mois + 30 jours | 30 jours après notification |
| Historique des achats in-app | Durée de la relation contractuelle | 10 ans (art. L. 123-22 du Code de commerce — obligation comptable) |
| Données bancaires | Non conservées par l'Éditeur (gestion exclusive par les Stores) | – |
| Journaux de connexion (IP, date, terminal) | 12 mois (art. L. 34-1 CPCE / LCEN) | – |
| Rapports de crash et analytique | 14 mois maximum, puis anonymisation ou suppression | – |
| Données de support (échanges avec urbex.legends.app@gmail.com) | 3 ans après dernier contact (prescription civile commerciale, art. 2224 C. civ.) | – |
| Données de consentement marketing et leur retrait | 3 ans à compter du retrait du consentement (recommandation CNIL) | – |
| Données nécessaires à la défense des droits en cas de litige | Durée du litige + délais de prescription applicables (jusqu'à 5 ans en matière civile, 6 ans en matière pénale délictuelle) | – |
Au-delà des durées indiquées, les données sont supprimées ou anonymisées de manière irréversible.
8. Droits des Utilisateurs
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, l'Utilisateur dispose des droits suivants sur ses données à caractère personnel.
8.1 Droit d'accès (art. 15 RGPD)
L'Utilisateur peut obtenir confirmation que ses données font ou non l'objet d'un traitement et, le cas échéant, demander la copie de l'ensemble des données traitées le concernant.
8.2 Droit de rectification (art. 16 RGPD)
L'Utilisateur peut demander la correction de toute donnée inexacte ou incomplète. La plupart des données sont directement modifiables depuis les Paramètres de l'Application.
8.3 Droit à l'effacement / « droit à l'oubli » (art. 17 RGPD)
L'Utilisateur peut demander l'effacement de ses données. Il peut également supprimer son Compte directement depuis Paramètres > Gérer mon compte > Supprimer mon compte. L'Éditeur procède alors à la suppression des données dans les délais et conditions prévus au § 7, sous réserve des données devant être conservées au titre d'une obligation légale ou pour la défense des droits.
8.4 Droit à la limitation du traitement (art. 18 RGPD)
L'Utilisateur peut demander la limitation du traitement de ses données dans les cas prévus par le RGPD (contestation de l'exactitude, traitement illicite mais opposition à l'effacement, données nécessaires à l'Utilisateur pour la défense de droits, exercice du droit d'opposition pendant la vérification des motifs).
8.5 Droit à la portabilité (art. 20 RGPD)
L'Utilisateur peut demander de recevoir ses données à caractère personnel sous un format structuré, couramment utilisé et lisible par machine (JSON, CSV), ou demander leur transmission directe à un autre responsable de traitement lorsque cela est techniquement possible.
8.6 Droit d'opposition (art. 21 RGPD)
L'Utilisateur peut s'opposer, à tout moment et pour des raisons tenant à sa situation particulière, au traitement de ses données fondé sur l'intérêt légitime de l'Éditeur. En matière de prospection commerciale, le droit d'opposition est inconditionnel et peut être exercé sans motif.
8.7 Droit de retrait du consentement
Lorsque le traitement est fondé sur le consentement, l'Utilisateur peut le retirer à tout moment :
- pour les notifications push : Paramètres in-app + Paramètres OS ;
- pour la géolocalisation : Paramètres OS ;
- pour les emails marketing : lien « Se désabonner » présent dans chaque email ou Paramètres in-app ;
- pour l'analytique comportementale : Paramètres in-app.
Le retrait du consentement n'affecte pas la licéité du traitement effectué avant le retrait.
8.8 Droit relatif au sort des données après le décès
Conformément à l'article 85 de la loi Informatique et Libertés, l'Utilisateur peut définir des directives relatives à la conservation, l'effacement et la communication de ses données après son décès, soit auprès d'un tiers de confiance certifié par la CNIL, soit auprès de l'Éditeur pour les directives spécifiques à l'Application.
8.9 Droit d'introduire une réclamation auprès de la CNIL
L'Utilisateur dispose du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) s'il estime que le traitement de ses données ne respecte pas la réglementation applicable :
- Site web : https://www.cnil.fr
- Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07, France
- Téléphone : +33 (0)1 53 73 22 22
8.10 Modalités d'exercice des droits
Pour exercer l'un des droits ci-dessus, l'Utilisateur peut :
- utiliser les fonctionnalités intégrées à l'Application (Paramètres > Gérer mon compte) ;
- envoyer un email à : urbex.legends.app@gmail.com ;
- demander par email l'adresse postale de l'Éditeur si l'Utilisateur souhaite exercer ses droits par courrier — l'adresse lui sera communiquée à réception d'une demande motivée à urbex.legends.app@gmail.com.
L'Éditeur répond à toute demande dans un délai de un (1) mois à compter de la réception, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois en cas de demande complexe ou de demandes multiples ; l'Utilisateur en serait alors informé dans le délai initial.
L'Éditeur peut être amené à demander la fourniture d'un justificatif d'identité en cas de doute raisonnable sur l'identité du demandeur, conformément à l'article 12.6 du RGPD.
Les demandes manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, peuvent donner lieu au refus de donner suite ou à la facturation de frais raisonnables au regard du coût administratif (art. 12.5 RGPD).
9. Sécurité des données
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.
9.1 Mesures techniques
- Chiffrement des données en transit via TLS 1.2 ou supérieur entre l'Application et les serveurs Supabase, et entre les serveurs et leurs sous-traitants ;
- Chiffrement au repos des données stockées dans les bases de données Supabase et les buckets de stockage (AES-256) ;
- Hachage des mots de passe au moyen d'un algorithme à dérivation de clé éprouvé (bcrypt, paramètres de coût élevés) — l'Éditeur n'a à aucun moment accès aux mots de passe en clair ;
- Cloisonnement des données par utilisateur via les Row Level Security policies de PostgreSQL, activées sur 100% des tables sensibles ;
- Authentification multi-facteurs disponible sur les comptes d'administration de l'Éditeur ;
- Stockage local sécurisé des secrets et tokens sur les terminaux Utilisateurs (Keychain iOS, Keystore Android, encrypted shared preferences) ;
- Surveillance des intrusions et anomalies via Sentry et journaux d'activité Supabase ;
- Mises à jour de sécurité régulières des dépendances et bibliothèques tierces ;
- Sauvegardes automatisées chiffrées quotidiennes, avec rétention courte et localisation UE.
9.2 Mesures organisationnelles
- Principe du moindre privilège : seuls les comptes ayant un besoin opérationnel justifié ont accès à un jeu de données ;
- Engagements de confidentialité souscrits par chaque sous-traitant et toute personne ayant accès aux données ;
- Procédure documentée de gestion des incidents de sécurité (détection, qualification, contention, remédiation, notification) ;
- Minimisation des données : seules les données strictement nécessaires aux finalités sont collectées ;
- Pseudonymisation chaque fois que techniquement possible.
9.3 Notification de violation
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des Utilisateurs, l'Éditeur procédera à la notification de la CNIL dans un délai de 72 heures à compter de la prise de connaissance de la violation, conformément à l'article 33 du RGPD. Lorsque la violation est susceptible d'engendrer un risque élevé, les Utilisateurs concernés seront informés directement dans les meilleurs délais, conformément à l'article 34 du RGPD.
9.4 Limites
Malgré les mesures mises en œuvre, aucun système informatique ne peut garantir une sécurité absolue. L'Utilisateur reconnaît être informé de cette limite et accepte d'utiliser l'Application en connaissance des risques résiduels. L'Utilisateur s'engage à signaler sans délai à urbex.legends.app@gmail.com tout fait dont il aurait connaissance et qui pourrait porter atteinte à la sécurité des données.
10. Cookies et technologies similaires
L'Application étant une application mobile native, elle n'utilise pas de cookies HTTP au sens strict. Elle recourt en revanche à des technologies similaires de stockage local :
- Stockage sécurisé du terminal (Keychain iOS, Keystore Android, encrypted shared preferences Flutter) : conservation des tokens d'authentification, des préférences utilisateur, de l'état d'avancement de l'onboarding. Strictement nécessaire au fonctionnement de l'App, exempt de consentement préalable.
- Identifiants techniques d'installation (générés aléatoirement, sans corrélation avec un identifiant matériel non-réinitialisable) : nécessaires à l'envoi de notifications push, à la prévention de la fraude et à la corrélation des sessions au sein d'un même Compte. Soumis aux finalités déclarées au § 4 et révocables avec le Compte.
- Tokens de notifications push (APNS pour iOS, FCM pour Android, distribués via OneSignal) : créés au premier opt-in, supprimés à la révocation de l'opt-in ou à la suppression de l'App.
- Identifiants techniques tiers déposés par les SDK Sentry et PostHog dans le cadre des traitements analytique et crash reporting. Ces SDK respectent un mode de fonctionnement sans cookies, basé sur des identifiants aléatoires.
L'Application n'utilise aucun identifiant publicitaire (IDFA, AAID) et n'effectue aucun tracking publicitaire cross-app ou cross-site. Aucun système de publicité n'est intégré.
11. Mineurs
L'Application est strictement réservée aux personnes majeures âgées de 18 ans révolus (cf. CGU article 4).
L'Éditeur ne collecte, ni sciemment ni intentionnellement, aucune donnée à caractère personnel concernant des personnes mineures. Tout Compte dont l'Éditeur aurait connaissance qu'il appartient à un mineur sera supprimé immédiatement et l'ensemble des données associées effacé.
Tout parent ou représentant légal qui aurait connaissance qu'un mineur dont il a la charge a créé un Compte en violation de cette restriction peut en informer l'Éditeur à urbex.legends.app@gmail.com afin d'obtenir la suppression immédiate du Compte et des données associées.
12. Communications marketing
L'Éditeur n'adresse aucune communication marketing à un Utilisateur sans son opt-in explicite préalable. Le consentement marketing est demandé séparément, par une case à cocher non pré-cochée, distincte de l'acceptation des CGU.
L'Utilisateur peut retirer son consentement à tout moment :
- en cliquant sur le lien « Se désabonner » présent dans chaque email marketing ;
- depuis les Paramètres de l'App ;
- en écrivant à urbex.legends.app@gmail.com.
Les emails dits transactionnels (confirmations d'achat, réinitialisations de mot de passe, alertes de sécurité, notifications légales) ne sont pas soumis à opt-in et ne peuvent être désactivés tant que le Compte est actif, conformément à l'article L. 34-5 du Code des postes et des communications électroniques.
13. Modification de la présente Politique
La présente Politique de Confidentialité peut être modifiée à tout moment, notamment pour tenir compte d'évolutions légales, réglementaires, jurisprudentielles, techniques ou organisationnelles. Les modifications substantielles seront portées à la connaissance des Utilisateurs par :
- notification au sein de l'Application ;
- email aux Utilisateurs disposant d'un Compte (pour les changements significatifs) ;
- demande renouvelée de consentement, le cas échéant, lorsque le nouveau traitement le requiert.
La date d'entrée en vigueur indiquée en tête de document est mise à jour à chaque modification. La version applicable est celle accessible dans l'Application.
14. Utilisateurs hors Union Européenne
La présente Politique s'applique pleinement aux Utilisateurs situés hors UE, avec les standards du RGPD comme socle minimal de protection. Les Utilisateurs situés dans des juridictions imposant des protections supplémentaires (notamment Californie — California Consumer Privacy Act et California Privacy Rights Act, Royaume-Uni — UK GDPR, Suisse — Loi fédérale sur la protection des données) bénéficient de ces protections supplémentaires lorsqu'elles sont applicables, et peuvent contacter l'Éditeur pour exercer les droits spécifiques qu'elles prévoient.
15. Contact
Pour toute question relative à la présente Politique de Confidentialité, à l'exercice de ses droits ou au traitement de ses données :
LARUE Vincent (Responsable du traitement) Auto-entrepreneur — SIRET : 892 162 363 00014 Email : urbex.legends.app@gmail.com
Adresse postale communicable sur demande motivée (cf. § 1).
PART 2 — ENGLISH VERSION (Informational translation)
This English translation is provided for information only. In case of any divergence of interpretation, the French version prevails.
1. Data Controller
LARUE Vincent, sole proprietor (auto-entrepreneur under French law) SIRET: 892 162 363 00014 Contact email: urbex.legends.app@gmail.com
The postal address of an individual operating their business from their personal residence is not publicly displayed to preserve privacy, consistent with CNIL guidance for individual entrepreneurs working from home. It remains communicable to any competent public authority (CNIL, courts, tax authorities) on formal request, and to any person demonstrating a legitimate interest, by motivated request at the email above.
Within the meaning of Regulation (EU) 2016/679 ("GDPR") and the amended French Data Protection Act of 6 January 1978, LARUE Vincent acts as the Data Controller for personal data processed within the "Urbex Legends" mobile application (the "App").
The Publisher is not required to appoint a Data Protection Officer (DPO) within the meaning of Article 37 of the GDPR. Users may nevertheless contact the Data Controller directly at the address above.
2. Scope
This Privacy Policy applies to all personal data processing carried out in connection with the App. It does not apply to processing carried out by Stores (Apple App Store, Google Play Store), payment operators or any third-party sites linked from the App.
3. Personal Data Collected
3.1 Data provided by the User
Email address (required); hashed password or OAuth identifier (Google/Apple) (required); pseudonym (required); avatar (optional); country, region, preferred exploration area (optional); biography (optional, max 280 chars); photos, descriptions, comments, reviews, spot submissions (optional); support messages (optional); notification, language and marketing opt-in preferences (optional).
3.2 Data collected automatically
Device type and model, OS and version, App version, system locale (technical); session IP address — transient (security, fraud prevention, LCEN compliance); randomly-generated install identifier — no link with non-resettable hardware ID (push notifications, fraud prevention); GPS location approximate or precise per user authorization (map, nearby suggestions); screens visited, in-app actions, session duration (product analytics); crash stack traces, app context (stability, debugging); in-app purchase history (account management, support, accounting); moderation reports and logs.
3.3 Data NOT collected
The App does not collect: banking data (handled by Stores); biometric data; continuous audio/video recordings; photo gallery content beyond User-selected files; contacts; data from other apps installed on the device.
3.4 Sensitive data (Art. 9 GDPR)
The App processes no sensitive data within the meaning of Article 9 GDPR (racial or ethnic origin, political opinions, religious or philosophical beliefs, union membership, genetic data, biometric identification data, health data, sex life or sexual orientation).
3.5 Automated decisions and profiling
The App makes no automated decisions producing legal effects or significantly affecting the User within the meaning of Article 22 GDPR. Personalized content (nearby spot recommendations) is generated from non-sensitive signals and remains adjustable by the User.
4. Purposes and Legal Bases (Art. 6 GDPR)
4.1 Service delivery — Performance of contract (Art. 6.1.b): Account creation and management; authentication; provision of main features; in-app purchase processing and Subscription management; transactional communication; customer support.
4.2 Legitimate interests (Art. 6.1.f): App security and fraud prevention; Content moderation; compliance with Store policies; non-identifying statistical analysis; crash reporting and debugging. The Publisher has carried out a balancing test between its legitimate interests and the rights and freedoms of Users.
4.3 Consent (Art. 6.1.a): geolocation; push notifications; marketing emails; detailed behavioral analytics if applicable. Consent may be withdrawn at any time without affecting prior lawfulness.
4.4 Legal obligations (Art. 6.1.c): accounting and tax record retention; connection log retention (LCEN); responses to lawful requests from authorities; preservation of evidence for defense of rights.
5. Geolocation
Geolocation is used to display nearby spots on the map, center the map on the User's position, suggest geographically relevant content, and filter the marketplace by proximity. Access requires explicit User consent via the OS dialog (iOS / Android), revocable at any time via OS settings.
Precision (approximate, city-level, or precise, GPS-level) is User-controllable. The App does not collect background geolocation. If background usage is introduced later, a separate explicit consent will be required.
Coordinates referenced in the App point exclusively to the public road in proximity to the location of interest, and never to the private property itself (cf. Terms of Service).
6. Recipients and Sub-Processors
6.1 Sub-processors (Art. 28 GDPR)
The Publisher uses the following sub-processors, each bound by an Article 28-compliant contract and offering sufficient guarantees:
| Sub-processor | Purpose | Primary data location | Privacy policy |
|---|---|---|---|
| Supabase Inc. | Backend hosting (auth, PostgreSQL, storage, edge functions) | EU (Frankfurt, Germany) | https://supabase.com/privacy |
| RevenueCat Inc. | In-app purchase / subscription / webhook management | USA (EU residency option on certain plans) | https://www.revenuecat.com/privacy |
| OneSignal Inc. | Push notification delivery | USA and EU | https://onesignal.com/privacy_policy |
| Sentry (Functional Software, Inc.) | Crash reporting | EU (Frankfurt, Germany) | https://sentry.io/privacy |
| PostHog Inc. | Product analytics | EU (Frankfurt, Germany) | https://posthog.com/privacy |
| Resend Inc. | Transactional and marketing email delivery | USA | https://resend.com/legal/privacy-policy |
| Cloudflare, Inc. | Network protection layer, CDN, auth-related web pages hosting | Global network with proximity routing | https://www.cloudflare.com/privacypolicy |
| OpenFreeMap / MapLibre | Map tile delivery | EU | https://openfreemap.org |
| Apple Inc. | iOS distribution, iOS IAP processing, Apple authentication, APNS | USA | https://www.apple.com/legal/privacy |
| Google LLC | Android distribution, Android IAP processing, Google authentication, FCM | USA and EU | https://policies.google.com/privacy |
6.2 Transfers outside the EU
Certain sub-processors may process data outside the EU, primarily in the United States. Such transfers are governed by:
- Standard Contractual Clauses approved by the European Commission (Implementing Decision (EU) 2021/914 of 4 June 2021), included in contracts with these sub-processors;
- where applicable, the EU-US Data Privacy Framework adequacy decision of 10 July 2023, when the sub-processor is certified;
- post-Schrems II supplementary measures (CJEU, 16 July 2020, C-311/18): TLS 1.2+ encryption in transit, pseudonymization where technically possible, data minimization, strict access controls.
Users may request a copy of these guarantees at urbex.legends.app@gmail.com.
6.3 Public sharing within the App
Certain Account data is publicly visible to other Users within the App: pseudonym, avatar, country, region; profile statistics (level, badges, unlocked spot count, shared exploration count); published Content. The User may adjust visibility of certain elements via Settings, where the feature permits.
6.4 Disclosure to third parties / authorities
The Publisher may disclose data to a third party in performance of a legal or regulatory obligation; in response to a judicial or administrative request; in defense of the Publisher's rights; in case of business transfer, subject to equivalent commitments by the acquirer. The Publisher does not sell personal data and does not authorize third-party commercial use without prior explicit User consent.
7. Retention Periods
| Data category | Active retention | Post-deletion archival |
|---|---|---|
| Account data (profile, preferences) | Account lifetime | 30 days technical archive, then permanent deletion |
| Published Content | Account lifetime | 30 days technical archive, then permanent deletion — except evidence of breaches or ongoing disputes |
| Inactive accounts (no activity 24 months) | Reactivation notice, then deletion at 24 months + 30 days | 30 days post-notice |
| In-app purchase history | Contract duration | 10 years (French Commercial Code Art. L. 123-22 — accounting obligation) |
| Banking data | Not retained (Stores only) | – |
| Connection logs (IP, date, device) | 12 months (LCEN) | – |
| Crash reports and analytics | Maximum 14 months, then anonymized or deleted | – |
| Support communications | 3 years after last contact (commercial civil prescription) | – |
| Marketing consent and withdrawal records | 3 years after withdrawal (CNIL recommendation) | – |
| Data necessary to defend rights in litigation | Litigation duration + applicable prescription periods (up to 5 years civil, 6 years criminal) | – |
Beyond these durations, data is irreversibly deleted or anonymized.
8. User Rights
8.1 Right of access (Art. 15)
Confirmation and copy of personal data processed.
8.2 Right to rectification (Art. 16)
Correction of inaccurate or incomplete data. Most data is directly editable in Settings.
8.3 Right to erasure / "right to be forgotten" (Art. 17)
The User may delete the Account from Settings > Manage my account > Delete account. Subject to legal retention obligations.
8.4 Right to restriction of processing (Art. 18)
Restriction in the cases provided by GDPR.
8.5 Right to portability (Art. 20)
Structured, commonly used and machine-readable format (JSON, CSV), or direct transmission to another controller when technically feasible.
8.6 Right to object (Art. 21)
Objection to legitimate-interest-based processing on grounds relating to the User's particular situation. Marketing objection is unconditional and motive-free.
8.7 Right to withdraw consent
Withdrawal at any time via the channels described above. Does not affect prior lawfulness.
8.8 Right to determine the fate of data after death
Per Article 85 of the French Data Protection Act, Users may define instructions on the retention, deletion and communication of their data after death.
8.9 Right to lodge a complaint with the CNIL
Commission Nationale de l'Informatique et des Libertés — https://www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07, France — +33 (0)1 53 73 22 22.
8.10 How to exercise rights
In-app functions (Settings > Manage my account); email at urbex.legends.app@gmail.com; or by postal mail to the address provided by the Publisher upon motivated email request.
The Publisher responds within one (1) month, extendable by two months for complex requests (Art. 12.3 GDPR). Proof of identity may be requested if there is reasonable doubt (Art. 12.6). Manifestly unfounded or excessive requests may be refused or charged reasonable fees (Art. 12.5).
9. Data Security
Pursuant to Article 32 GDPR, appropriate technical and organizational measures:
Technical: TLS 1.2+ encryption in transit; AES-256 at-rest encryption; bcrypt password hashing — passwords never visible to Publisher; PostgreSQL Row Level Security on 100% of sensitive tables; MFA on Publisher admin accounts; OS-level secure storage on devices (Keychain, Keystore, encrypted shared preferences); intrusion and anomaly monitoring; regular security updates; daily encrypted backups, short retention, EU location.
Organizational: least-privilege principle; confidentiality commitments from all sub-processors and authorized personnel; documented incident response procedure; data minimization; pseudonymization where technically possible.
Breach notification: CNIL notified within 72 hours of awareness, per Art. 33 GDPR. Affected Users informed without undue delay when the breach is likely to result in high risk (Art. 34 GDPR).
No information system can guarantee absolute security. The User acknowledges residual risks and agrees to report any suspected security issue to urbex.legends.app@gmail.com.
10. Cookies and Similar Technologies
As a native mobile app, no HTTP cookies in the strict sense. Similar local-storage technologies:
- Secure device storage (Keychain, Keystore, encrypted preferences): authentication tokens, preferences, onboarding state. Strictly necessary, exempt from prior consent.
- Random install identifiers (no correlation with non-resettable hardware IDs): push notifications, fraud prevention, session correlation. Revoked with Account.
- Push notification tokens (APNS, FCM, via OneSignal): created on opt-in, deleted on opt-out or App uninstall.
- Technical identifiers from Sentry and PostHog SDKs: random, cookieless mode.
The App uses no advertising identifier (IDFA, AAID) and no cross-app or cross-site advertising tracking. No advertising system is integrated.
11. Minors
The App is strictly reserved for persons aged 18 or older (cf. Terms of Service Art. 4).
The Publisher does not knowingly collect personal data from minors. Any Account known to belong to a minor will be deleted immediately along with all associated data. Parents or legal guardians aware of a minor under their responsibility having created an Account in violation may inform the Publisher at urbex.legends.app@gmail.com to obtain immediate deletion.
12. Marketing Communications
The Publisher sends no marketing communication without explicit prior opt-in. Marketing consent is requested separately via an unchecked checkbox, distinct from Terms acceptance.
Withdrawal at any time: unsubscribe link in each marketing email; in-app Settings; email at urbex.legends.app@gmail.com.
Transactional emails (purchase confirmations, password resets, security alerts, legal notices) are not subject to opt-in and cannot be deactivated while the Account is active, per Art. L. 34-5 of the French Postal and Electronic Communications Code.
13. Modification of this Policy
The Privacy Policy may be modified at any time to reflect legal, regulatory, judicial, technical or organizational developments. Material changes will be notified via in-app notification, email to Account holders for significant changes, or renewed consent request where the new processing requires it.
The effective date at the top of the document is updated on each modification. The applicable version is the one accessible in the App.
14. Users outside the European Union
This Policy applies fully to Users located outside the EU, with the GDPR standards as the minimum baseline. Users in jurisdictions providing additional protections (California — CCPA and CPRA, United Kingdom — UK GDPR, Switzerland — Federal Data Protection Act) benefit from these additional protections where applicable, and may contact the Publisher to exercise the specific rights they provide.
15. Contact
For any question regarding this Privacy Policy, exercise of rights or processing of personal data:
LARUE Vincent (Data Controller) Auto-entrepreneur — SIRET: 892 162 363 00014 Email: urbex.legends.app@gmail.com
Postal address communicable upon motivated request (cf. § 1).