Politique de confidentialité — Utilisateurs
Dernière mise à jour : 10 mai 2026
1. Préambule
La présente politique de confidentialité décrit comment NL NIGHT'LIFE traite les données à caractère personnel des utilisateurs de l'application mobile Night'Life (iOS / Android) et du site de pré-inscription, conformément au Règlement (UE) 2016/679 (« RGPD », notamment articles 12 à 14) et à la loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés ».
Une politique distincte régit le traitement des données des professionnels et prestataires (consultable ici).
2. Responsable du traitement
NL NIGHT'LIFE
SAS au capital de 1 112,00 €
44 Chemin de la Rive Bergère, 06480 La Colle-sur-Loup
RCS Antibes 931 965 461 — SIRET 931 965 461 00011
Présidence : Timothée Herblin & Julie Huret--Tanguy
Référent protection des données
Co-référents internes désignés : Timothée Herblin et Julie Huret--Tanguy
Email RGPD : support@nightlife-pro.com (objet : « Protection des données »)
Email général : contact@nightlife-pro.com
NL NIGHT'LIFE n'a pas l'obligation de désigner un Délégué à la protection des données (DPO) formel au sens de l'article 37 du RGPD à la date de la présente politique. Deux co-référents internes ont néanmoins été nommés pour traiter l'ensemble des demandes RGPD.
3. Données collectées
3.1 Lors de la pré-inscription
- Prénom
- Adresse email
3.2 Lors de l'inscription complète
- Prénom et nom
- Adresse email (vérifiée par code à 6 chiffres)
- Nom d'utilisateur (généré automatiquement à partir du nom)
- Numéro de téléphone
- Date de naissance (vérification de l'âge minimum de 18 ans — art. 8 RGPD)
- Photo de profil (optionnelle)
- Bio personnelle (optionnelle, max. 150 caractères)
- Mot de passe (haché avec bcrypt, jamais stocké ni transmis en clair)
- Préférences musicales et d'ambiance (pour les recommandations personnalisées)
- Préférences de notifications (push, email, SMS par catégorie)
3.3 Inscription via fournisseur tiers (Apple / Google)
Si vous choisissez Sign in with Apple ou Google Sign-In, nous récupérons uniquement les données strictement nécessaires à la création du compte (identifiant unique fourni par Apple / Google, adresse email, prénom). Aucun jeton d'accès aux services Apple ou Google n'est conservé au-delà de l'authentification.
3.4 Données d'utilisation
- Établissements consultés, suivis (follow), mis en favoris (bookmark)
- Événements consultés, mis en favoris ou réservés
- Indications « je viens ce soir » (going_tonights : établissement, date de la soirée)
- Vues de fiche établissement, clics profil, clics itinéraire
- Réservations effectuées (date, créneau, nombre de couverts, demandes spéciales)
- Avis et notes publiés sur les établissements
- Publications (texte, photos), likes, commentaires, favoris sur le fil social
- Messages privés envoyés (utilisateur ↔ établissement / utilisateur ↔ utilisateur)
- Demandes de suivi (follow requests) entre utilisateurs
- Signalements de contenu (content reports)
- Achats de billets d'événements (commandes, billets émis, scans)
- Demandes de booking adressées à des prestataires (DJ, artistes, etc.)
- Historique NLP : cumul, activations de récompenses, perks utilisés
- Score de fiabilité interne (entier 0-100, par défaut 50, ajusté automatiquement en fonction de votre comportement — réservations honorées, signalements, etc.) destiné à la modération et à la prévention de la fraude
- Demandes de support et tickets
3.5 Données financières
Abonnement Standard / Apollon
- Identifiant Apple original_transaction_id ou Google purchase_token (les données de carte bancaire sont traitées exclusivement par Apple ou Google)
- Identifiant produit et date d'expiration de l'abonnement
Achat de billets d'événements (Stripe Connect)
- Email de l'acheteur, prénom et nom (saisis lors de l'achat)
- Téléphone de l'acheteur (si demandé par l'établissement organisateur)
- Réponses aux champs personnalisés de billetterie (si configurés par l'établissement : ex. cotisant BDE, étudiant)
- Identifiants de paiement Stripe (PaymentIntent, Charge) — les données de carte sont traitées exclusivement par Stripe (certifié PCI DSS niveau 1)
- Montants, statut de la commande, billet QR signé
3.6 Données de géolocalisation
Avec votre consentement explicite (autorisation iOS / Android), l'application accède à votre position pour afficher les établissements à proximité sur la carte interactive. Cette donnée est traitée en temps réel et n'est pas conservée durablement sur nos serveurs. Vous pouvez retirer l'autorisation à tout moment depuis les paramètres de votre appareil.
3.8 Données techniques
- Adresse IP (pour la sécurité et la prévention de la fraude)
- Type d'appareil, modèle, système d'exploitation, version de l'application
- Identifiants de notifications push (jetons FCM Android / APNs iOS / Expo)
- Logs de connexion et tokens de rafraîchissement (refresh tokens)
- Données de diagnostic et de plantage transmises à Sentry (anonymisées dans la mesure du possible)
3.9 Données issues de l'intelligence artificielle
L'application propose des fonctionnalités d'IA (assistant conversationnel, recommandations personnalisées). À cette occasion sont traités :
- Conversations et messages échangés avec l'assistant (titre, contenu, résumé)
- Vecteurs de représentation (embeddings) de votre profil, calculés à partir de vos préférences musicales et d'ambiance pour personnaliser les recommandations. Ces vecteurs sont une représentation mathématique anonyme et ne contiennent pas vos données brutes.
Les recommandations IA produites n'ont pas d'effet juridique ni d'incidence significative sur vous (art. 22 RGPD ne s'applique pas). Vous pouvez à tout moment désactiver les recommandations personnalisées dans les paramètres.
4. Finalités et bases légales
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) |
| Fourniture des fonctionnalités de découverte, réservation, messagerie | Exécution du contrat (art. 6.1.b) |
| Programme de fidélité Night'Life Points (NLP) | Exécution du contrat (art. 6.1.b) |
| Traitement des paiements d'abonnement (App Store / Google Play) | Exécution du contrat (art. 6.1.b) |
| Achat de billets d'événements via Stripe | Exécution du contrat (art. 6.1.b) |
| Vérification de l'âge (≥ 18 ans) | Obligation légale (art. 6.1.c) — protection des mineurs |
| Géolocalisation | Consentement (art. 6.1.a) — autorisation iOS / Android |
| Notifications push, email, SMS marketing | Consentement (art. 6.1.a) ou intérêt légitime selon le cas |
| Recommandations personnalisées (embeddings, IA) | Exécution du contrat (art. 6.1.b) |
| Score de fiabilité, modération, prévention de la fraude | Intérêt légitime (art. 6.1.f) |
| Statistiques anonymisées et amélioration du Service | Intérêt légitime (art. 6.1.f) |
| Conservation des factures de billetterie | Obligation légale (art. 6.1.c) |
5. Destinataires de vos données
Vos données sont communiquées uniquement aux destinataires strictement nécessaires :
5.1 Établissements partenaires
- Lors d'une réservation : prénom, nom, téléphone et détails de la réservation
- Lors d'un achat de billet : prénom, nom, email, réponses aux champs personnalisés
- Lors d'un message : prénom, photo de profil, contenu du message
- Lors de l'activation d'une récompense (perk) : pseudo et identifiant pour validation sur place
5.2 Sous-traitants techniques (art. 28 RGPD)
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Apple Inc. / Google LLC | Authentification (Sign in with Apple / Google) et paiement des abonnements in-app (App Store / Google Play) | États-Unis (CCT + DPF) |
| Stripe Payments Europe Ltd | Paiement des billets d'événements (Stripe Connect destination charges) | Irlande / États-Unis (CCT + DPF) |
| Supabase Inc. (infrastructure AWS) | Base de données PostgreSQL et stockage (photos, avis) | AWS eu-west-3 Paris (données) — Supabase siège Singapour |
| Railway Corp. | Hébergement applicatif (API backend et site web) | Siège États-Unis / infrastructure Europe (Irlande) — CCT + DPF |
| Resend Inc. | Envoi des emails transactionnels et marketing | États-Unis (CCT + DPF) |
| Sentry / Functional Software Inc. | Supervision technique et journalisation des erreurs (anonymisation côté client) | États-Unis (CCT + DPF) |
| Expo Inc. / APNs Apple / FCM Google | Notifications push | États-Unis (CCT + DPF) |
| Anthropic PBC | Modèles d'IA Claude (assistant, recommandations personnalisées) | États-Unis (CCT + DPF — option Zero Data Retention activée) |
| Klipy | Bibliothèque de GIFs et stickers intégrée aux stories | États-Unis (CCT + DPF) |
Aucune donnée n'est vendue à des tiers à des fins commerciales. Aucun cookie publicitaire, aucun pixel de tracking et aucun SDK marketing tiers ne sont déployés dans l'application mobile.
6. Transferts hors Union européenne
Plusieurs sous-traitants ont leur siège aux États-Unis (Apple, Google, Stripe pour la partie extra-européenne, Railway, Resend, Sentry, Expo, Anthropic, Klipy). Ces transferts sont encadrés conformément aux articles 44 et suivants du RGPD par les Clauses contractuelles types (CCT) de la Commission européenne (décision (UE) 2021/914) et / ou par la certification au EU-U.S. Data Privacy Framework lorsque le sous-traitant y a adhéré.
La base de données principale et l'ensemble des sauvegardes et fichiers (photos de profil, avis, etc.) sont hébergés en France (Supabase / AWS eu-west-3 Paris). L'hébergement applicatif (API et site web) est assuré par Railway en Europe (Irlande). Les flux entre la couche applicative (Irlande) et la base de données (France) demeurent à l'intérieur de l'UE.
7. Durées de conservation
- Données de pré-inscription : jusqu'au lancement officiel ou 24 mois maximum
- Données de compte (actif) : durée de l'activité du compte
- Données de compte (après suppression) : 30 jours en archive (réversible) puis anonymisation, sauf obligations légales
- Historique NLP et récompenses : cycle glissant de 12 mois
- Logs de connexion et adresses IP : 12 mois (art. L34-1 CPCE)
- Avis publiés et photos : durée du compte, supprimés à la fermeture
- Messages privés : durée du compte
- Commandes de billets et factures : 10 ans (art. L123-22 Code de commerce)
- Tokens de notifications push : tant que l'application est installée et autorisée
- Conversations IA : durée du compte ; suppression à tout moment via le bouton dédié dans les paramètres ou automatiquement à la fermeture du compte
- Embeddings de profil : durée du compte, recalculés à chaque modification du profil
- Signalements de contenu : 3 ans après résolution (preuve en cas de litige)
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) — obtenir une copie de vos données personnelles
- Droit de rectification (art. 16) — corriger des données inexactes
- Droit à l'effacement (art. 17) — supprimer votre compte et vos données
- Droit à la limitation (art. 18) — restreindre temporairement le traitement
- Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré
- Droit d'opposition (art. 21) — vous opposer au traitement, notamment à la prospection commerciale
- Droit de retirer votre consentement (art. 7) — pour la géolocalisation, les notifications, la connexion bancaire, le marketing
- Droit de définir des directives post-mortem (art. 85 LIL)
Comment exercer vos droits :
- Directement depuis l'application : suppression de compte, gestion des notifications, opt-out marketing, déconnexion bancaire
- Par email à contact@nightlife-pro.com en joignant un justificatif d'identité
Réponse dans un délai d'un mois (prorogeable de deux mois pour les demandes complexes — art. 12.3 RGPD).
Réclamation : en cas de désaccord, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
9. Sécurité (art. 32 RGPD)
- Communications chiffrées en transit (TLS 1.2+)
- Mots de passe hachés avec bcrypt (jamais stockés en clair)
- Authentification par tokens JWT à durée limitée et refresh tokens rotatifs
- Chiffrement des bases de données au repos (AWS RDS)
- Hébergement applicatif Railway en Europe (Irlande), base de données Supabase/AWS eu-west-3 (Paris)
- Accès aux données personnelles strictement limité aux personnels habilités
- Procédure de notification de violation sous 72 h (art. 33-34 RGPD)
10. Mineurs
Le Service est strictement réservé aux personnes âgées d'au moins 18 ans. Cette restriction est cohérente avec la nature du Service (univers de la nuit, vie nocturne, débit de boissons). Lors de l'inscription, votre date de naissance est vérifiée.
Nous ne collectons pas sciemment de données concernant des mineurs. Si nous découvrons qu'un mineur s'est inscrit, son compte est immédiatement suspendu puis supprimé. Si vous êtes parent ou tuteur et pensez qu'un mineur sous votre responsabilité a fourni des données via le Service, contactez-nous.
11. Cookies et stockage local
Site de pré-inscription : cookies strictement nécessaires au fonctionnement (authentification, préférences de session). Aucun cookie publicitaire ou de traçage tiers.
Application mobile : aucune utilisation de cookies. L'application utilise un stockage local sécurisé (AsyncStorage / Keychain iOS) pour conserver vos tokens d'authentification.
12. Modifications
La présente politique peut évoluer. La date de dernière mise à jour figure en tête de page. Toute modification substantielle vous sera notifiée par email ou via une alerte dans l'application au moins 15 jours avant son entrée en vigueur. La poursuite de l'utilisation du Service vaudra acceptation de la nouvelle version.
13. Contact
NL NIGHT'LIFE
44 Chemin de la Rive Bergère, 06480 La Colle-sur-Loup
Email : contact@nightlife-pro.com