Politique de confidentialité

1Introduction

La présente Politique de confidentialité explique comment Flightshared (le « Service ») collecte, utilise, stocke et protège les informations lorsque vous l’utilisez.

Cette politique s’applique aux applications mobiles Flightshared (iOS et Android) ainsi qu’au site web Flightshared. Certaines fonctionnalités sont disponibles uniquement sur les applications mobiles (telles que le suivi GPS/localisation et les notifications).

Le Service est conçu pour les aéroclubs (Flying Clubs) et leurs membres. Les aéroclubs gèrent leurs membres et partagent des évènements et des documents. Les membres partagent des vols et interagissent entre eux via la participation commune à un vol, abonnements, likes, commentaires, réponses, stories, signalements et blocages.

La présente politique est régie par le Règlement (UE) 2016/679 du 27 avril 2016 (le « Règlement Général sur la Protection des Données », RGPD) et par la loi française Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée.

En utilisant le Service, vous acceptez la présente Politique de confidentialité.

1.5Rôles : FlightShared et votre aéroclub

Pour les traitements opérés à l'échelle de la plateforme — création et authentification des comptes, publication et stockage des vols et stories, graphe social entre utilisateurs, blocage et signalement — Flightshared est responsable du traitement au sens de l'article 4, point 7, du RGPD.

Pour les activités que votre aéroclub réalise via la plateforme — gestion de la liste de ses membres, approbation ou refus des demandes d'adhésion, diffusion de documents internes, désignation des instructeurs et autres décisions internes — votre aéroclub agit en tant que responsable de traitement indépendant (ou, le cas échéant, conjoint) pour les données qu'il traite dans ce cadre. Flightshared fournit l'infrastructure technique mais ne décide ni des finalités ni des moyens de ces traitements.

Pour toute question relative aux pratiques de votre aéroclub en matière de données, en particulier pour les activités menées en dehors de la plateforme, vous êtes invité à vous adresser directement à votre aéroclub.

2Données collectées

Nous collectons les données suivantes :

2.1Informations de compte et de profil

• Adresse e-mail (obligatoire pour tous les comptes)
• Nom d’utilisateur (comptes aéroclub)
• Informations de profil que vous choisissez de fournir (par exemple un nom affiché)
• Photo de profil
• Informations d’adhésion à l’aéroclub (aéroclub, rôle/permissions)

2.2Contenus et interactions stockés sur nos serveurs

• Publications de vols que vous créez ou partagez (informations de vol publiées au sein de votre aéroclub)
• Stories que vous publiez (photos uniquement)
• Photos que vous téléversez (photo de profil et autres photos utilisées dans le Service)
• Commentaires, réponses, likes, abonnements
• Évènements et documents publiés par votre aéroclub
• Signalements que vous effectuez (signalements de contenus ou d’utilisateurs)
• Liste de blocage (utilisateurs que vous bloquez)

Caméra et Photos

• Caméra : utilisée pour prendre des photos pour les stories et la photo de profil (lorsque supporté par l’appareil/le navigateur).
• Photos/Bibliothèque multimédia : utilisée pour sélectionner et téléverser des photos pour les stories et la photo de profil.
• Les vidéos ne sont pas autorisées dans les stories (stories = photos uniquement).
• Vous pouvez refuser l’accès à la caméra ou aux photos ; le Service reste utilisable, mais certaines fonctionnalités peuvent être limitées.

Règles et conservation des stories

• Chaque utilisateur peut publier une story par jour.
• Les stories sont stockées sur nos serveurs (photo stockée dans un stockage objet et référencée en base de données).
• Les stories sont supprimées automatiquement chaque jour à 05:00 UTC (suppression de la référence en base de données et du fichier stocké).

Documents

• Les documents partagés au sein des aéroclubs sont stockés sur nos serveurs (stockage objet et référence en base de données).

2.3Données de localisation (applications mobiles uniquement ; non stockées sur nos serveurs)

• Les applications mobiles accèdent à la localisation de votre appareil uniquement dans le cadre d’une session de suivi de vol de 90 minutes, démarrant lorsque vous ouvrez l’écran de vol en direct.
• Pendant cette session de 90 minutes, l’accès à la localisation continue en premier plan et en arrière-plan afin d’enregistrer la trace même si vous quittez l’écran de vol en direct puis y revenez.
• L’application arrête le suivi de localisation immédiatement lorsque vous fermez l’application, ou automatiquement lorsque 90 minutes se sont écoulées depuis la dernière ouverture de l’écran de vol en direct.
• Flightshared ne téléverse pas, ne collecte pas et ne stocke pas votre trace GPS sur ses serveurs.
• La trace GPS utilisée pour rejouer un vol enregistré est sauvegardée uniquement sur votre appareil.
• Les vols partagés au sein de votre aéroclub sont stockés sur nos serveurs, mais ils ne contiennent pas la trace GPS de relecture.

2.4Notifications (applications mobiles uniquement)

• Si vous activez les notifications, nous stockons un token de notification push lié à votre compte et à votre appareil.
• Nous utilisons ce token uniquement pour vous envoyer des notifications liées à l’activité de l’aéroclub et aux interactions au sein du Service.

2.5Données techniques

• Nous stockons le modèle de l’appareil et la version du système d’exploitation afin d’assurer la compatibilité et le fonctionnement sécurisé du Service.

3Utilisation de vos données

3.1Fourniture du service

• Créer et gérer les comptes et l’adhésion aux aéroclubs
• Afficher les listes des membres et des instructeurs de l’aéroclub
• Permettre le partage et la consultation des publications de vols, stories, commentaires, réponses, likes et abonnements au sein de votre aéroclub
• Envoyer des notifications sur votre appareil lorsque vous les activez (applications mobiles uniquement)

3.2Sécurité et modération

• Traiter les signalements soumis par les utilisateurs
• Appliquer les règles de la communauté lorsque nécessaire (y compris suppression de contenu et restriction de compte)
• Appliquer le blocage afin que les utilisateurs bloqués ne puissent pas interagir et ne puissent pas voir leurs contenus respectifs dans le Service

3.3Hébergement et stockage

• Les données de compte et les contenus sont stockés sur une infrastructure backend hébergée sur AWS (S3 + backend).
• Les photos et documents sont stockés dans AWS S3 et référencés par des clés en base de données.
• Les images sont stockées telles qu’elles sont téléversées. Nous n’effectuons pas de redimensionnement côté serveur, pas de génération de miniatures, ni d’altération visuelle des images.

3.4Partage avec des tiers et publicité

• Nous ne vendons pas de données personnelles.
• Nous ne partageons pas de données personnelles avec des tiers à des fins publicitaires.
• Nous n’utilisons pas de SDK d’analytics ni de crash-reporting dans les applications mobiles.

3.5Fournisseurs tiers pour cartes et météo

Le Service affiche des cartes et des couches météo/imagerie et récupère des données météo/aviation via des fournisseurs externes. Lorsque vous utilisez ces fonctionnalités, votre appareil se connecte à ces fournisseurs pour télécharger des tuiles ou des données. Ces fournisseurs reçoivent les informations de requête réseau nécessaires pour fournir les tuiles/données demandées.

• Cartes : Apple Maps (iOS)
• Cartes : MapTiler (Android, web)
• Couches satellite/nuages : NASA GIBS (Earthdata)
• Couches satellite/nuages : EUMETSAT EUMETView
• Modèle météo : Open-Meteo (GFS)
• Météo aviation : NOAA Aviation Weather Center (METAR/TAF)
• Liens externes ouverts dans le navigateur : Météo-France Aviation
• Liens externes ouverts dans le navigateur : UK Met Office Aviation

4Vos droits (UE/EEE)

4.1Suppression du compte

Vous pouvez supprimer votre compte à tout moment dans le Service : Tableau de bord → Mes données → Supprimer mon compte.

Lorsque vous supprimez votre compte, nous supprimons votre compte et les contenus associés de nos serveurs, y compris vos données de profil, photo de profil, publications de vols, stories, commentaires, réponses, likes, abonnements, documents téléversés (le cas échéant), signalements soumis et votre liste de blocage.

4.2Accès, rectification, suppression et autres droits

Si vous êtes dans l’UE/EEE, vous pouvez demander l’accès à vos données personnelles, leur rectification, leur suppression, la limitation du traitement, vous opposer au traitement et demander la portabilité lorsque applicable. Pour exercer ces droits : contact@flightshared.com.

4.3Gestion des autorisations

Vous pouvez activer ou désactiver les autorisations (localisation, caméra, photos, notifications) dans les réglages de votre appareil à tout moment. La désactivation d’une autorisation désactive la fonctionnalité correspondante.

4.4Droit de réclamation auprès de la CNIL

Indépendamment de tout autre recours, vous disposez du droit d’introduire une réclamation auprès d’une autorité de contrôle en matière de protection des données. En France, l’autorité compétente est la Commission Nationale de l’Informatique et des Libertés (CNIL) :

• CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
• Téléphone : +33 (0)1 53 73 22 22
• Site web : www.cnil.fr

Si vous résidez dans un autre État membre de l’UE/EEE, vous pouvez également introduire une réclamation auprès de l’autorité de contrôle de votre pays de résidence.

4.5Absence de décision automatisée

Nous n'effectuons aucune décision individuelle automatisée ni profilage au sens de l'article 22 du RGPD. Aucun traitement automatisé ne produit d'effets juridiques vous concernant ou ne vous affecte de manière significative.

5Interactions et visibilité

5.1Portée de visibilité (version actuelle)

Tous les contenus du Service sont restreints aux utilisateurs rattachés au même aéroclub :

• Profils : visibles par les membres du même aéroclub.
• Listes membres/instructeurs : visibles par les membres du même aéroclub.
• Publications de vols : visibles par les membres du même aéroclub.
• Stories : visibles par les membres du même aéroclub.
• Commentaires/réponses/likes/abonnements : visibles au sein du même aéroclub.

5.2Visibilité de la localisation

La localisation en direct n’est pas visible par d’autres utilisateurs. Flightshared ne stocke pas de traces GPS sur ses serveurs. La trace GPS utilisée pour rejouer un vol enregistré est sauvegardée uniquement sur l’appareil de l’utilisateur.

5.3Signalements

Les utilisateurs peuvent signaler des contenus et des utilisateurs. Les signalements sont examinés et peuvent entraîner une suppression de contenu et/ou une restriction de compte.

5.4Blocage

Le blocage empêche l’interaction et masque les contenus entre les utilisateurs bloqués dans le Service. Les utilisateurs peuvent débloquer à tout moment depuis la liste de blocage du Service.

6Durées de conservation

Nous ne conservons les données personnelles que le temps nécessaire aux finalités définies dans la présente politique. Les durées de conservation ci-dessous s'appliquent par catégorie. Les données hébergées sur AWS S3 peuvent subsister dans des sauvegardes versionnées jusqu'à 30 jours après leur suppression, avant purge définitive.

• Données de compte actif : conservées pendant toute la durée du compte.
• Données de compte après suppression : purgées immédiatement à la demande de suppression ; le versioning AWS S3 peut conserver des sauvegardes pendant 30 jours maximum, après quoi les données sont définitivement supprimées.
• Publications de vols, commentaires, réponses, likes, abonnements : liés au cycle de vie du compte (supprimés avec le compte) ; les suppressions à l'initiative de l'utilisateur prennent effet immédiatement, avec la même fenêtre de 30 jours pour les sauvegardes.
• Documents partagés au sein des aéroclubs : conservés jusqu'à leur suppression par le club ou l'utilisateur, ou jusqu'à la suppression du compte.
• Stories : 24 heures (supprimées automatiquement chaque jour à 05:00 UTC).
• Tokens de notifications push : supprimés à la déconnexion, après 30 jours d'inactivité de l'appareil, ou lorsque la passerelle de notifications (APNs) signale le token comme invalide.
• Signalements : conservés 12 mois en tant que journal d'audit pour la modération, puis purgés.
• Liste de blocage : conservée pendant toute la durée du compte.
• Journaux serveur / d'accès : conservés 12 mois pour la gestion des incidents de sécurité, conformément aux recommandations de la CNIL.

7Transferts de données hors UE

Les données de votre compte et vos contenus sont stockés dans l'Union européenne — plus précisément sur l'infrastructure AWS dans la région eu-west-1 (Irlande). Ils ne sont pas transférés en dehors de l'UE/EEE pour leur stockage.

Certaines fonctionnalités optionnelles ou tierces peuvent, lors de leur utilisation, transmettre des requêtes à des prestataires établis en dehors de l'UE/EEE. Nous nous appuyons sur les garanties suivantes (RGPD, articles 44 à 49) :

• Apple Maps (Apple Inc., États-Unis) : couvert par la certification d'Apple au cadre EU-US Data Privacy Framework et par les Clauses Contractuelles Types de la Commission européenne.
• MapTiler (MapTiler AG, Suisse) : la Suisse bénéficie d'une décision d'adéquation de la Commission européenne, qui autorise le transfert sans garanties supplémentaires.
• Vercel Analytics (Vercel Inc., États-Unis — chargé uniquement après votre acceptation des cookies non essentiels) : couvert par la certification de Vercel au cadre EU-US Data Privacy Framework et par les Clauses Contractuelles Types.
• NOAA Aviation Weather Center (États-Unis), NASA GIBS / Earthdata (États-Unis) : services de données publiques en libre accès. Votre appareil envoie des métadonnées de requête standard (adresse IP, user-agent) pour récupérer des rapports ou imageries publics ; aucune information de compte utilisateur n'est transmise. Aucune CCT formelle n'est en place avec ces fournisseurs publics, mais l'exposition se limite aux métadonnées de requête strictement nécessaires à la fourniture de la ressource demandée.
• EUMETSAT (Allemagne / UE), Open-Meteo (Suisse — adéquation), Météo-France (France), UK Met Office (Royaume-Uni — adéquation) : couverts par leur localisation UE/EEE ou par une décision d'adéquation de la Commission européenne.

Vous pouvez désactiver chaque fonctionnalité dans les réglages de votre appareil ou de votre navigateur ; la requête réseau correspondante n'est alors pas émise.

8Données des mineurs

Le Service n'est pas destiné aux enfants. L'âge minimum pour s'inscrire est de 16 ans, conformément à nos Conditions Générales d'Utilisation. Nous ne collectons pas sciemment de données personnelles de personnes de moins de 16 ans.

L'âge est recueilli sous forme d'une date de naissance auto-déclarée lors de l'inscription. Nous n'effectuons pas de vérification d'âge supplémentaire.

Si nous apprenons qu'une personne de moins de 16 ans a créé un compte (par exemple à la suite d'un signalement par un parent, un représentant légal ou un membre du personnel), nous supprimons le compte et les données personnelles associées sans délai injustifié.

Un parent ou représentant légal qui pense que son enfant de moins de 16 ans s'est inscrit sans son consentement peut nous contacter à contact@flightshared.com pour en demander la suppression. Nous agirons dans les meilleurs délais, et en tout état de cause dans les délais prévus par l'article 12(3) du RGPD (un mois, prolongeable de deux mois pour les demandes complexes).

9Sécurité

Conformément à l'article 32 du RGPD, Flightshared met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment : chiffrement des données en transit (HTTPS/TLS), contrôle d'accès avec gestion des rôles et permissions, authentification sécurisée (jetons JWT, protection CSRF), accès aux serveurs en moindre privilège, mises à jour logicielles régulières, et séparation des environnements de production.

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, nous notifions la CNIL dans les 72 heures et, lorsque requis, informons les utilisateurs concernés sans délai injustifié (articles 33 et 34 du RGPD).

10Évolution de la politique

Le Service peut évoluer. Les nouvelles fonctionnalités qui introduisent de nouveaux traitements de données personnelles — nouvelles catégories de données, nouvelles finalités ou nouveaux partenaires tiers, y compris d'éventuelles fonctionnalités publicitaires — seront ajoutées à la présente politique avant leur mise en service.

Lorsque la loi l'exige (en particulier l'article 6 du RGPD pour de nouvelles finalités, ou l'article 82 de la Loi Informatique et Libertés pour de nouveaux traceurs ou cookies), nous solliciterons votre consentement avant d'activer le nouveau traitement.

Les modifications substantielles de la présente politique sont communiquées aux utilisateurs actifs par notification dans l'application, par e-mail, ou par les deux selon la modification. La « Date d'entrée en vigueur » en haut de la page reflète la révision la plus récente.