Politique de Confidentialité
Version 2026-04 — Dernière mise à jour : avril 2026
1. Responsable du traitement
Le responsable du traitement au sens du RGPD est Webedia LLC, dont les coordonnées figurent dans les mentions légales.
Délégué à la protection des données (DPO) : dpo@randuo.fr.
Demandes RGPD pour les résidents de l'UE : Webedia LLC étant établie hors de l'Union européenne, les demandes relatives à la protection des données sont traitées directement par le DPO ci-dessus, dans les délais prévus par l'article 12 du RGPD.
2. Données collectées
Les données collectées se répartissent comme suit :
- Compte et identifiants : adresse e-mail, nom d'utilisateur, mot de passe (stocké haché avec bcrypt), identifiant Google (si connexion via OAuth).
- Profil : photo, biographie, date de naissance, genre et préférence, niveau de randonnée, situation déclarée, intentions de rencontre (« je cherche »), centres d'intérêt.
- Localisation : coordonnées GPS (transmises par votre navigateur avec votre consentement), pays, région, département, ville.
- Contenu publié : publications, photos, commentaires, réactions, messages échangés dans les conversations privées, de groupe et le chat général.
- Interactions sociales : likes, visites de profil, blocages, participation aux événements.
- Technique : adresse IP, user-agent, journaux de session.
- Analytique interne : événements fonctionnels (inscription, première publication, envoi d'un message) pour mesurer l'activation et améliorer le service.
- Emails : métadonnées d'ouverture et de clic sur les emails que nous vous envoyons (cf. § 6).
- Paiement : identifiant client Stripe, type de moyen de paiement, quatre derniers chiffres de la carte. Les données de carte complètes ne transitent jamais par nos serveurs.
- Attribution : paramètres UTM présents dans l'URL d'arrivée (source, médium, campagne), page d'atterrissage, code de parrainage.
3. Finalités et bases légales
- Fournir et sécuriser le service (compte, authentification, modération, lutte anti-fraude) — exécution du contrat et intérêt légitime.
- Mettre en relation les membres (affichage du profil, suggestions, carte des membres, messagerie) — exécution du contrat.
- Géolocalisation précise (coordonnées GPS) — consentement (via l'API de votre navigateur).
- Notifications par email transactionnelles (sécurité, activité du compte) — exécution du contrat / intérêt légitime.
- Newsletter et emails marketing — consentement explicite (opt-in à l'inscription ou depuis vos préférences).
- Paiement et facturation — exécution du contrat et obligation légale (conservation 10 ans).
- Mesure d'audience interne (events analytiques, attribution UTM) — intérêt légitime.
- Publicité et mesure de campagnes (Meta Pixel, à l'avenir Google Ads / TikTok / Pinterest / LinkedIn / Snap) — consentement, via la bannière cookies.
- Respect des obligations légales (lutte contre les contenus illicites, réquisitions judiciaires) — obligation légale.
4. Destinataires et sous-traitants
Vos données ne sont jamais vendues. Elles sont accessibles aux équipes habilitées de Webedia LLC et transmises aux sous-traitants suivants, strictement pour les finalités indiquées :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| OVH SAS | Hébergement du service (serveurs applicatifs, base de données) | France (UE) | Données localisées en UE. |
| Cloudflare Inc. (R2) | Stockage des fichiers multimédias (photos, avatars) | Union européenne (région Western Europe) | Données pinned en UE. Société américaine ; Clauses Contractuelles Types + Data Privacy Framework pour tout transfert résiduel. |
| Stripe, Inc. | Traitement des paiements d'abonnement | États-Unis | Conforme PCI-DSS niveau 1. Transferts encadrés par les Clauses Contractuelles Types + Data Privacy Framework. DPA signé avec Stripe. |
| Meta Platforms Ireland Ltd | Mesure des performances publicitaires (Meta Pixel, Conversions API) | Irlande / États-Unis | Clauses Contractuelles Types + Data Privacy Framework. Activé uniquement avec consentement. |
| Google Ireland Ltd | Authentification Google OAuth | Irlande / États-Unis | Clauses Contractuelles Types + Data Privacy Framework. |
Les données peuvent également être transmises aux autorités compétentes en cas d'obligation légale (réquisition judiciaire, demande de la CNIL).
Certaines informations de votre profil (pseudo, avatar, bio, niveau de randonnée, ville, photos publiques) sont visibles des autres membres — c'est la vocation même du service.
5. Transferts hors Union européenne
Webedia LLC est établie aux États-Unis. Des transferts de données personnelles des utilisateurs de l'UE vers les États-Unis ont donc lieu pour l'exploitation du service. Ces transferts sont encadrés par :
- les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914/UE) ;
- le EU-U.S. Data Privacy Framework lorsque le destinataire est certifié ;
- des mesures techniques complémentaires (chiffrement au repos et en transit, séparation des environnements).
Les transferts vers Meta, Google et Cloudflare reposent sur ces mêmes garanties.
6. Durées de conservation
| Catégorie | Durée | Base |
|---|---|---|
| Compte utilisateur et profil | Durée de vie du compte + 30 jours après suppression | Exécution du contrat |
| Messages privés et contenu publié | Jusqu'à suppression par l'utilisateur ou fermeture du compte | Exécution du contrat |
| Logs de session (IP, user-agent) | 13 mois | Intérêt légitime (sécurité), recommandation CNIL |
| Statistiques d'usage (événements analytiques internes) | 13 mois | Intérêt légitime |
| Tracking des emails (ouvertures, clics) | 90 jours | Intérêt légitime (mesure des campagnes transactionnelles) |
| Factures et données de facturation | 10 ans | Obligation légale (art. L. 123-22 Code commerce) |
| Journaux de modération (signalements, sanctions) | 3 ans après clôture du dossier | Intérêt légitime (lutte contre les abus) |
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données.
- Droit de rectification des données inexactes.
- Droit à l'effacement (droit à l'oubli), via la suppression de votre compte depuis vos paramètres.
- Droit à la portabilité : obtenez une copie structurée de vos données depuis vos paramètres > Mes données.
- Droit d'opposition au traitement pour motif légitime, en particulier à la prospection directe.
- Droit à la limitation du traitement dans les cas prévus par la loi.
- Droit de retirer votre consentement à tout moment (bannière cookies, préférences de notifications), sans que cela remette en cause la licéité du traitement antérieur.
- Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 loi Informatique et Libertés).
Pour exercer ces droits, écrivez à dpo@randuo.fr ou utilisez le formulaire de contact. Nous vous répondons dans un délai d'un mois, pouvant être étendu à trois mois pour les demandes complexes (art. 12 RGPD).
En cas de réclamation non résolue, vous pouvez saisir la CNIL — 3 place de Fontenoy, 75007 Paris — cnil.fr/plaintes.
8. Cookies et traceurs
Randuo dépose des cookies strictement nécessaires au fonctionnement du service, et, avec votre consentement, des cookies de mesure publicitaire. La liste détaillée, leurs finalités et leurs durées figurent dans notre politique de cookies. Vous pouvez à tout moment modifier vos choix via le bouton « Gérer mes cookies » dans le pied de page.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées : mots de passe hachés avec bcrypt, chiffrement TLS des échanges, sessions signées, accès interne restreint et journalisé, sauvegardes régulières, séparation des environnements. En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous notifierons la CNIL dans les 72 heures et, le cas échéant, les personnes concernées.
10. Mineurs
Randuo est réservé aux personnes âgées d'au moins 18 ans. Une vérification technique de l'âge est effectuée lors de l'inscription. Si nous découvrons qu'un compte a été créé par un mineur, il est supprimé sans délai et les données associées sont effacées.
11. Modifications
La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou fonctionnelles. Les modifications substantielles vous seront notifiées par email ou au sein du service.