Politique de confidentialité

En vigueur au 27 mai 2026 — conforme au RGPD (UE 2016/679) — mise à jour : ajout de Google Analytics avec consentement

1. Responsable du traitement

L'éditeur du site OuVibrer (ouvibrer.fr).
Contact : ouvibrer@gmail.com

2. Données collectées

Lors de la création d'un compte :

  • Nom ou pseudo (obligatoire)
  • Adresse email (obligatoire)
  • Mot de passe (haché bcrypt — jamais en clair)
  • Date d'inscription et dernière connexion

Lors de la publication d'une soirée : titre, description, lieu, date, prix, coordonnées de l'organisateur (nom, email, téléphone et réseaux sociaux optionnels — affichés publiquement), image optionnelle, DJs / profs / lieu (optionnels).

Lors de la publication d'une école de danse : nom, description, lieux de pratique (adresse + GPS via Nominatim), planning des cours, image optionnelle.

Notifications push : endpoint de subscription et clés cryptographiques générées par votre navigateur, liés à votre compte et supprimés à la désactivation.

Messagerie et forum : contenu des messages privés et de groupe, posts forum, mises en sourdine de conversations (préférences locales liées à votre compte), localisation approximative pour les annonces (optionnelle).

Fonctionnalités sociales :

  • Participation aux soirées + favoris (favoris privés)
  • Commentaires sur soirées (visibles publiquement)
  • Groupes / communautés : appartenance, rôle (membre/admin/owner), contenu (visibilité publique ou privée selon le groupe), accès par code d'invitation ou mot de passe pour les groupes privés
  • Profil étendu : avatar, bio, rôle de danse (leader/follower), préférences (visibles publiquement)
  • Coups de cœur mutuels (« crushes ») : si deux utilisateurs s'indiquent réciproquement comme coup de cœur via leurs notes privées, une notification mutuelle leur est envoyée. Aucune information n'est partagée si le coup de cœur n'est pas réciproque.
  • Notes privées sur d'autres utilisateurs : strictement privées, visibles uniquement par leur auteur. Aucune autre personne, ni l'utilisateur visé, ni l'éditeur n'y accède via les interfaces standard (exception : déclenchement automatique de notification mutuelle décrit ci-dessus, sans révéler le contenu de la note).
  • Blocage d'utilisateurs : empêche les messages privés entrants. Le blocage est non visible à la personne bloquée.

Formulaire de contact : nom, email, sujet et contenu transmis par email à l'éditeur — non conservés en base.

Abonnement invité aux alertes par email (sans compte) : adresse email, filtres choisis (régions, danses, catégories) + token de désinscription en un clic.

3. Finalités et bases légales

  • Gestion des comptes, publication d'événements et d'écoles, messagerie, groupes — Exécution du contrat (art. 6.1.b)
  • Notifications push web, abonnement alertes — Consentement révocable (art. 6.1.a)
  • Mesure d'audience via Google Analytics (audience, pages vues, parcours) — Consentement explicite (art. 6.1.a), désactivé tant que vous n'avez pas accepté le bandeau cookies
  • Suivi d'intérêt anonyme des visiteurs, sécurité et modération, suppression auto des comptes inactifs — Intérêt légitime (art. 6.1.f)
  • Génération d'images IA (Pollinations) — Consentement explicite (art. 6.1.a)
  • Notes privées entièrement isolées — Intérêt légitime de l'utilisateur (art. 6.1.f)

4. Durée de conservation

  • Compte utilisateur : conservé tant que le compte est actif ; supprimé sur demande ou après 6 mois d'inactivité (notification 7 jours avant)
  • Événements : jusqu'à suppression par l'organisateur ou 2 ans après la date
  • Écoles, posts forum, messages privés : jusqu'à suppression par l'auteur ou l'administrateur
  • Signalements et journaux de modération : 12 mois (LCEN)
  • Messages de contact : non conservés en base

5. Sous-traitants et destinataires

Vos données ne sont jamais vendues ni cédées. Sous-traitants techniques :

  • Hébergeur : prestataire européen (serveur + base PostgreSQL)
  • SMTP Gmail : emails transactionnels (bienvenue, reset, alertes)
  • Nominatim / OpenStreetMap : géocodage d'adresses (aucune donnée perso transmise)
  • Pollinations.ai : génération d'images IA d'affiches (titre + ville + type uniquement)
  • Services push navigateur (FCM Google, Mozilla, Apple APNs) : acheminement des notifs push
  • YouTube : lecture intégrée de vidéos publiques
  • Facebook : lecture publique de métadonnées (Open Graph) lors de l'import d'événements
  • DataTourisme (Atout France) : agrégation d'événements de danse publiés par les offices de tourisme français, importés sous Licence Ouverte 2.0. Données factuelles uniquement (titre, date, lieu) — aucune donnée personnelle d'organisateur n'est importée. Chaque événement importé porte un badge d'attribution et un lien vers la fiche d'origine.
  • Ville de Paris — « Que faire à Paris ? » : agenda culturel parisien publié par la Mairie de Paris sous Licence Ouverte 2.0. Import quotidien des évènements liés à la danse (titre, description, date, adresse, image). Aucune donnée personnelle d'organisateur n'est ré-exposée. Lien retour vers la fiche d'origine sur paris.fr.
  • Nantes Métropole — « Agenda des évènements » : agenda publié par Nantes Métropole sous Licence Ouverte 2.0. Import quotidien des évènements liés à la danse (titre, description, date, adresse). Aucune donnée personnelle d'organisateur n'est ré-exposée.
  • OpenStreetMap (contributeurs OSM) : annuaire mondial des écoles et lieux de danse exposé sous ODbL (Open Database License). Import des fiches d'écoles avec nom, adresse, coordonnées GPS et liens publics. Attribution « © OpenStreetMap contributors » affichée sur chaque fiche école importée. Aucune création de compte utilisateur OSM, aucune donnée de visiteur transmise.
  • Annuaire des entreprises de l'État (recherche-entreprises.api.gouv.fr) : registre officiel SIRENE/RNA (Répertoire National des Associations) publié par l'INSEE et la DINUM sous Licence Ouverte 2.0. Import des écoles de danse identifiées par leur code d'activité : NAF 85.52Z (Enseignement culturel), 85.59B (Autres enseignements n.c.a.), 90.01Z (Arts du spectacle vivant) et 94.99Z (Autres organisations associatives). Données importées : raison sociale, SIREN, adresse du siège, coordonnées GPS, site web et contact publics si déclarés. Aucune donnée personnelle de dirigeant ou de salarié n'est ré-exposée. Lien retour vers la fiche officielle sur annuaire-entreprises.data.gouv.fr.
  • Sites web publics des écoles (lors de l'import OSM/SIRENE) : lecture des balises Open Graph (og:image, og:description) destinées par le protocole à être consommées par les services tiers (moteurs de recherche, prévisualisations de liens, agrégateurs). Le robot s'identifie comme OuVibrer-Bot/1.0, respecte robots.txt (RFC 9309), throttle à 1 requête / 2 secondes par domaine. Les images sont liées (hot-link) vers leur URL d'origine, jamais copiées sur nos serveurs. Aucune authentification ni contournement de protection.
  • Google Analytics (Google LLC, États-Unis) — mesure d'audience anonymisée (anonymisation d'IP activée). Activé uniquement après votre consentement explicite via le bandeau cookies. Tant que vous n'avez pas accepté (ou si vous refusez), aucun cookie analytics n'est déposé et aucune donnée n'est transmise à Google. Le transfert vers les États-Unis est encadré par les Clauses Contractuelles Types et la décision d'adéquation EU-US Data Privacy Framework.

6. Vos droits (RGPD art. 15 à 22)

  • Droit d'accès et de portabilité : bouton « Télécharger mes données » dans votre profil (export JSON complet)
  • Droit de rectification : édition directe depuis votre profil
  • Droit à l'effacement : bouton « Supprimer mon compte » dans votre profil (effacement définitif)
  • Droit d'opposition et de limitation : par email à ouvibrer@gmail.com
  • Retrait du consentement : à tout moment (notifications push, alertes email, etc.)
  • Désinscription des alertes email invitées : un lien de désinscription est inclus dans chaque email envoyé

Vous pouvez à tout moment déposer une réclamation auprès de la CNIL.

7. Sécurité

Le site applique : HTTPS sur l'ensemble du domaine, mots de passe hachés bcrypt (12 rounds), paramètres SQL préparés (anti-injection), Helmet + Content Security Policy, filtres anti-XSS sur les contenus user-generated, rate-limiting par IP, honeypot anti-bot sur les formulaires publics, isolation des notes privées en base.

8. Cookies et stockage local

Cookies essentiels (sans consentement, art. 82 loi Informatique & Libertés) :

  • ouv_jwt : cookie de session, durée 7 jours, SameSite=Lax, nécessaire à la persistance de votre connexion (SSR).
  • sessionStorage / localStorage : stockage local de votre token, préférences de thème (clair/sombre), choix de consentement et préférences d'affichage.

Cookies de mesure d'audience (soumis à votre consentement) :

  • Google Analytics (_ga, _ga_*) — durée 2 ans maximum. Aucun de ces cookies n'est déposé tant que vous n'avez pas cliqué « Tout accepter » dans le bandeau cookies. Le tag est chargé en mode « Consent Mode v2 » avec consentement refusé par défaut, anonymisation d'IP activée, pas de partage avec Google Ads. Si vous refusez, aucun cookie n'est déposé et aucune donnée n'est transmise.

Aucun cookie publicitaire, aucun pixel tiers, aucun réseau social embarqué hors lecteur YouTube (déclenché à votre initiative).

Retirer ou modifier votre consentement : cliquez sur « Gérer mes cookies » en bas de page (dans le pied de page, section Légal) pour réafficher le bandeau et changer votre choix à tout moment. Vous pouvez aussi effacer le stockage local depuis votre navigateur ou contacter ouvibrer@gmail.com.

9. Modifications

La présente politique peut être modifiée pour refléter les évolutions du site ou des obligations légales. La dernière mise à jour est indiquée en haut de cette page.