Documents légaux

Politique de confidentialité

Version 1.0 — Mai 2026

Règlement RGPD (UE) 2016/679

Loi Informatique et Libertés

Responsable de traitement: Bass'In group SARL — 4 impasse du Foquet, 33470 Gujan-Mestras
RCS: Bordeaux n° 984 411 645
Contact RGPD: bassingroup@gmail.com
Base légale principale: Contrat · Intérêt légitime · Consentement (géolocalisation)

Section 01

Qui sommes-nous ?

Bass'in est une application mobile éditée par Bass'In group SARL (RCS Bordeaux n° 984 411 645), ci-après désigné « Nous » ou « le Responsable de traitement », dont l'objet est de connecter les habitants du Bassin d'Arcachon avec les commerces et artisans locaux.

Pour toute question relative à vos données personnelles : bassingroup@gmail.com.

Section 02

Données collectées et finalités

2.1 Données des utilisateurs (particuliers)

Données	Finalité	Base légale
Adresse email, pseudo	Création et gestion du compte utilisateur	Exécution du contrat
Position géographique (ponctuellement lors du scan)	Valider la présence physique en commerce pour le scan QR Code	Consentement — demandé à chaque session
Historique de scans et points accumulés	Gestion du programme de fidélité (points convertibles en goodies)	Intérêt légitime
Préférences de notifications	Envoi de notifications push liées aux offres et commerces proches	Consentement
Données techniques (device ID, logs)	Sécurité, débogage, lutte contre la fraude	Intérêt légitime

      Géolocalisation : utilisée uniquement au moment du scan QR Code (mode « En cours d'utilisation » — jamais en arrière-plan). Nous ne collectons pas votre position de manière continue.
    

2.2 Données des Commerçants

Données	Finalité	Base légale
Nom, prénom, email, téléphone	Gestion du compte Commerçant	Exécution du contrat (CGV)
Raison sociale, SIRET, adresse	Identification légale et facturation	Obligation légale
Fiche commerce (photos, description, horaires, réseaux)	Affichage public dans l'application	Exécution du contrat
Données de paiement (gérées par Stripe)	Facturation de l'abonnement — non stockées par Bass'in	Exécution du contrat
Statistiques d'utilisation (scans, clics)	Amélioration du service et reporting Commerçant	Intérêt légitime

Section 03

Destinataires des données

Vos données sont traitées par Bass'in et ses sous-traitants techniques, dans le strict cadre des finalités décrites ci-dessus :

Supabase Inc. (États-Unis) — hébergement de la base de données et des fichiers. Données hébergées sur serveurs Europe (Frankfurt). Garanties : clauses contractuelles types UE ;
Stripe Inc. (États-Unis) — traitement des paiements Commerçants. Stripe est un responsable de traitement indépendant soumis à sa propre politique de confidentialité ;
Brevo (France) — envoi des emails transactionnels. Hébergement en France ;
Expo / Google Firebase / Apple APNs — infrastructure de notifications push. Seul le token de notification est transmis, sans contenu identifiant.

Nous ne vendons jamais vos données à des tiers. Aucune donnée n'est utilisée à des fins publicitaires ou cédée à des partenaires commerciaux.

Section 04

Durée de conservation

Catégorie de données	Durée de conservation
Compte utilisateur actif	Pendant toute la durée du compte, puis 3 ans après la dernière activité
Compte Commerçant	Pendant la durée de l'abonnement, puis 5 ans pour obligations comptables
Historique de scans et points	3 ans à compter du dernier scan
Données de géolocalisation (scan)	Non conservées — traitées à la volée lors du scan uniquement
Logs techniques et sécurité	12 mois glissants
Données de paiement (Stripe)	Selon politique Stripe — 13 mois pour les transactions CB

Section 05

Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

Droit d'accès : obtenir une copie de vos données ;
Droit de rectification : corriger des informations inexactes ;
Droit à l'effacement : demander la suppression de votre compte et de vos données (sous réserve des obligations légales de conservation) ;
Droit à la portabilité : recevoir vos données dans un format structuré et lisible ;
Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime ;
Droit de retrait du consentement : retirer à tout moment votre consentement à la géolocalisation ou aux notifications push, sans effet rétroactif.

Pour exercer vos droits : bassingroup@gmail.com — réponse sous 30 jours.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

Section 06

Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

Chiffrement des données en transit (HTTPS/TLS) et au repos ;
Row Level Security (RLS) sur la base de données : chaque utilisateur n'accède qu'à ses propres données ;
Authentification sécurisée via Supabase Auth ;
Aucune clé secrète ni donnée bancaire ne transite par l'application mobile ;
Accès administrateur restreint, journalisé et auditable ;
Sauvegardes régulières et plan de continuité.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures et vous informerons sans délai si le risque est élevé.

Section 07

Cookies et traceurs

L'application mobile Bass'in n'utilise pas de cookies au sens strict. Elle utilise des identifiants techniques locaux (stockage sécurisé sur l'appareil) uniquement pour maintenir votre session et vos préférences.

Si un site web associé à Bass'in est mis en ligne, une bannière de consentement aux cookies sera mise en place conformément aux recommandations de la CNIL.

Section 08

Transferts hors Union européenne

Certains de nos sous-traitants sont établis hors de l'Union européenne (Supabase, Stripe, Google). Ces transferts sont encadrés par des garanties appropriées conformément à l'article 46 du RGPD : clauses contractuelles types de la Commission européenne ou décisions d'adéquation.

Les données hébergées sur Supabase sont stockées sur des serveurs situés en Europe (région EU West — Frankfurt). Supabase Inc. est soumis à un DPA (Data Processing Agreement) conforme au RGPD.

Section 09

Mineurs

L'application Bass'in est destinée à un public adulte. Nous ne collectons pas sciemment des données de personnes de moins de 15 ans. Si vous avez connaissance qu'un mineur a créé un compte, contactez-nous afin que nous procédions à sa suppression.

Section 10

Modifications de la politique

Nous pouvons mettre à jour cette politique de confidentialité à tout moment pour refléter les évolutions de nos services ou les exigences légales. Toute modification significative vous sera notifiée par notification dans l'application ou par email.

Dernière mise à jour : mai 2026.