Politique de confidentialité
1. Introduction
Bjorn Interactive SAS (« nous », « notre » ou « nos ») s'engage à protéger votre vie privée et à garantir la sécurité de vos données personnelles. La présente politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations lorsque vous utilisez l'application mobile Norlu (l'« Application ») et les services associés (collectivement, le « Service »).
La présente politique de confidentialité s'applique à tous les utilisateurs du Service et doit être lue conjointement avec nos conditions générales d'utilisation. En accédant au Service ou en l'utilisant, vous reconnaissez avoir lu, compris et accepté la collecte, l'utilisation et la divulgation de vos informations telles que décrites dans la présente politique de confidentialité.
Si vous n'acceptez pas les conditions de la présente politique de confidentialité, veuillez ne pas accéder au Service ni l'utiliser.
2. Responsable du traitement des données et coordonnées
Le responsable du traitement de vos données personnelles est :
Bjorn Interactive SAS
Siège social : Rosheim, Alsace, France
SIREN : 100891522
E-mail : norlu@bjorninteractive.com
Contact confidentialité : Amaury Dreher (legal@norlu.io)
Si vous avez des questions ou des préoccupations concernant la présente politique de confidentialité ou nos pratiques en matière de données, veuillez nous contacter en utilisant les coordonnées fournies ci-dessus.
3. Base juridique du traitement (conformité au RGPD)
Nous traitons vos données personnelles conformément au règlement général sur la protection des données (RGPD) et aux lois françaises applicables en matière de protection des données. Les bases juridiques de nos activités de traitement sont les suivantes :
3.1 Consentement
Nous traitons certaines catégories de données personnelles sur la base de votre consentement explicite, notamment : les données de localisation pour l'affichage des cartes et la découverte de spots, l'accès à l'appareil photo pour la capture et la validation de photos, ainsi que les cookies analytiques et les technologies de suivi non essentielles.
Vous avez le droit de retirer votre consentement à tout moment via les paramètres de l'application ou en nous contactant. Le retrait du consentement n'affecte pas la légalité du traitement fondé sur le consentement avant son retrait, mais peut limiter votre capacité à utiliser certaines fonctionnalités du Service.
3.2 Exécution du contrat
Le traitement est nécessaire à l'exécution de notre contrat avec vous (les Conditions générales) pour : la création et l'authentification de comptes, la fourniture des fonctionnalités de base du Service (collecte de spots, gamification, profils d'utilisateurs), le traitement des paiements d'abonnement à Norlu+ et la fourniture d'un service client.
3.3 Intérêts légitimes
Nous traitons les données à caractère personnel lorsque cela est nécessaire pour nos intérêts légitimes ou ceux de tiers, à condition que ces intérêts ne prévalent pas sur vos droits et libertés fondamentaux. Ces intérêts légitimes comprennent : la prévention de la fraude, de la tricherie et de l'abus du Service grâce à des systèmes anti-triche, l'amélioration et le développement du Service grâce à l'analyse et à l'apprentissage automatique, la garantie de la sécurité et de l'intégrité de nos systèmes, la gestion des opérations commerciales et de l'administration interne, le respect des obligations légales et la réponse aux demandes légales, ainsi que le soutien au développement durable du tourisme et à la croissance économique territoriale grâce à des analyses agrégées partagées avec des partenaires institutionnels.
3.4 Obligation légale
Nous pouvons traiter vos données personnelles lorsque cela est nécessaire pour nous conformer aux obligations légales auxquelles nous sommes soumis, y compris les exigences fiscales et comptables, répondre aux demandes légitimes des autorités publiques et nous conformer aux lois applicables en matière de protection des consommateurs.
4. Informations que nous collectons
Nous collectons plusieurs catégories d'informations auprès des utilisateurs de notre Service et à leur sujet.
4.1 Informations que vous fournissez directement
Informations sur le compte : lorsque vous créez un compte, nous collectons votre adresse e-mail, le nom d'utilisateur que vous avez choisi, la méthode d'authentification (e-mail/mot de passe, Google ou Apple), votre année de naissance (utilisée pour vérifier votre âge et effectuer une analyse démographique agrégée) et les informations de profil que vous choisissez de fournir.
Contenu utilisateur : les photos que vous prenez et soumettez lorsque vous collectez des lieux, y compris les métadonnées associées telles que l'horodatage, les informations sur l'appareil et les coordonnées GPS intégrées dans le fichier photo.
Communications : informations que vous fournissez lorsque vous contactez notre service clientèle, répondez à des enquêtes ou communiquez avec nous de toute autre manière.
Informations de paiement : si vous vous abonnez à Norlu+, les informations de paiement sont collectées et traitées par des plateformes de paiement tierces (Apple App Store ou Google Play Store). Nous ne recevons que la confirmation du paiement et du statut de l'abonnement ; nous ne collectons ni ne stockons directement les détails de votre carte de crédit ou de paiement.
4.2 Informations collectées automatiquement
Données de localisation : nous collectons des données de géolocalisation précises à partir de votre appareil mobile lorsque vous utilisez le Service, notamment les coordonnées GPS, l'altitude, le rayon de précision et l'horodatage. Cette collecte de données est strictement épisodique : les coordonnées GPS ne sont capturées qu'au moment précis où un utilisateur déclenche activement une validation « Spot » (par exemple, au moment de prendre une photo), et l'application ne suit ni n'enregistre en continu la trajectoire de l'utilisateur entre les Spots. Ces données ne sont collectées que lorsque l'application est active et utilisée.
Données d'utilisation : informations sur vos interactions avec le Service, y compris les Spots consultés et collectés, les points gagnés et dépensés, les succès débloqués, le statut de série, la durée et la fréquence des sessions, les fonctionnalités consultées et les habitudes de navigation dans l'application.
Informations sur l'appareil : informations techniques sur votre appareil, notamment le type et le modèle de l'appareil, le système d'exploitation et sa version, les identifiants uniques de l'appareil (IDFA sur iOS, identifiant publicitaire sur Android), les informations sur le réseau mobile, l'adresse IP, le type et la version du navigateur (le cas échéant), ainsi que la résolution de l'écran et les paramètres de l'appareil.
Données de connexion : journaux de serveur qui enregistrent des informations techniques sur votre utilisation du Service, y compris les heures d'accès, les messages d'erreur, les requêtes API et les rapports d'incident.
4.3 Informations provenant de tiers
Fournisseurs d'authentification : si vous utilisez Google Sign-In ou Apple Sign-In, nous recevons des informations de profil de base de ces fournisseurs, notamment votre nom, votre adresse e-mail et votre photo de profil (si vous choisissez de la partager). Les informations que nous recevons sont régies par les politiques de confidentialité de ces fournisseurs tiers.
Fournisseurs d'analyses et de services : nous pouvons recevoir des données agrégées et anonymisées provenant de services d'analyse tiers qui nous aident à comprendre comment les utilisateurs interagissent avec notre Service.
5. Comment nous utilisons vos informations
Nous utilisons les informations que nous collectons aux fins suivantes :
5.1 Fourniture et exploitation du service
Créer et gérer votre compte ; Vérifier l'âge des utilisateurs pour déterminer leur admissibilité au service (contrôle de l'âge) ; Authentifier votre identité et gérer la sécurité de votre compte ; Afficher les Spots à proximité sur la carte interactive ; Valider votre présence physique aux Spots à l'aide des coordonnées GPS ; Traiter et vérifier les photos soumises pour la collection Spot ; Calculer et attribuer des points, des niveaux et des succès ; Suivre les séries hebdomadaires et appliquer des multiplicateurs ; Fournir les fonctionnalités de l'abonnement Norlu+ ; Activer les fonctionnalités de partage social et de communauté ; Envoyer des notifications et des communications dans l'application ; et Traiter et exécuter les récompenses des partenaires.
5.2 Prévention de la fraude et sécurité
Détecter et prévenir l'usurpation GPS, la falsification de localisation et d'autres méthodes de triche ; identifier et bloquer les bots, les scripts automatisés et les accès non autorisés ; analyser les schémas de déplacement pour vérifier leur cohérence avec un comportement humain authentique ; vérifier l'authenticité des photos à l'aide de métadonnées et d'analyses d'images ; surveiller les violations de nos conditions générales ; protéger contre les accès non autorisés, les violations de données et les menaces de sécurité ; et enquêter et répondre aux signalements d'abus ou d'activités suspectes.
5.3 Amélioration du service et analyse
Analyser les modèles d'utilisation afin d'améliorer les fonctionnalités du service et l'expérience utilisateur ; Réaliser des tests A/B et des expériences afin d'optimiser les fonctionnalités ; Développer et entraîner des modèles d'apprentissage automatique pour la détection des tricheries et la validation des photos (qui analysent strictement les données télémétriques et physiques cohérentes à des fins de prévention de la fraude et de cybersécurité, et n'évaluent, ne déduisent ni ne prédisent jamais les caractéristiques de personnalité ou le comportement social général d'un utilisateur) ; Identifier et corriger les bogues et les problèmes techniques ; Mesurer l'engagement, la fidélisation et d'autres indicateurs de performance ; Comprendre quels sont les lieux les plus populaires et pourquoi ; Informer les décisions relatives à la feuille de route des produits et au développement des fonctionnalités ; et Générer des analyses territoriales agrégées pour soutenir le développement durable du tourisme.
5.4 Communications
Envoi d'e-mails transactionnels liés à votre compte (par exemple, réinitialisation de mot de passe, confirmations d'abonnement) ; Envoi de notifications push concernant les séries, les réalisations et les nouvelles fonctionnalités (vous pouvez vous désabonner dans les paramètres) ; Réponse à vos demandes de renseignements et d'assistance ; Notification des modifications apportées à nos Conditions générales, à notre Politique de confidentialité ou aux fonctionnalités du Service ; et Envoi de communications marketing si vous vous êtes abonné (vous pouvez vous désabonner à tout moment).
5.5 Conformité légale
Respecter les obligations légales, y compris les exigences fiscales et comptables ; répondre aux demandes légitimes des autorités publiques, des forces de l'ordre ou des tribunaux ; faire respecter nos Conditions générales et protéger nos droits légaux ; résoudre les litiges et prévenir la fraude ou les activités illégales ; et protéger la sécurité, la sûreté et l'intégrité de notre Service, de nos utilisateurs et des tiers.
6. Comment nous partageons vos informations
Nous ne vendons pas vos données personnelles à des tiers. Nous pouvons partager vos informations dans les circonstances limitées suivantes :
6.1 Prestataires de services et sous-traitants
Nous faisons appel à des prestataires de services tiers pour exercer certaines fonctions en notre nom. Ces prestataires de services ont accès à vos données personnelles uniquement pour effectuer des tâches spécifiques et sont tenus de ne pas les divulguer ni les utiliser à d'autres fins. Les catégories de prestataires de services comprennent :
Hébergement et infrastructure cloud : Amazon Web Services (AWS) ou Google Cloud Platform pour l'hébergement de nos serveurs et bases de données ; Backend-as-a-Service : Firebase (Google) ou Supabase pour l'authentification, la base de données et les fonctions cloud ; Cartes et géolocalisation : Mapbox ou Google Maps Platform pour l'affichage des cartes et les services de géocodage ; Analyse et surveillance : Google Analytics, Mixpanel ou des services similaires pour l'analyse de l'utilisation (anonymisée dans la mesure du possible) ; Traitement des paiements : Apple App Store et Google Play Store pour la facturation des abonnements ; Communications par e-mail : SendGrid, Mailgun ou services similaires pour les e-mails transactionnels ; Assistance clientèle : Intercom, Zendesk ou plateformes similaires pour la gestion des tickets d'assistance ; et Rapports d'erreurs : Sentry ou Firebase Crashlytics pour la surveillance des erreurs et le débogage.
Tous les prestataires de services sont soigneusement sélectionnés et tenus de mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données conformément aux normes du RGPD. Nous avons conclu des accords de traitement des données avec tous les sous-traitants qui traitent des données à caractère personnel.
6.2 Organisations touristiques publiques et partenaires institutionnels
Norlu s'associe à des organismes publics de tourisme afin de promouvoir le développement durable du tourisme, de lutter contre le surtourisme et de soutenir des politiques territoriales fondées sur des données factuelles. Dans le cadre de ces partenariats, nous partageons des analyses agrégées et anonymisées avec les offices de tourisme, les comités départementaux et régionaux du tourisme et d'autres institutions publiques chargées du développement territorial.
Les catégories d'institutions avec lesquelles nous pouvons partager des données comprennent les offices de tourisme municipaux et intercommunaux, les comités départementaux du tourisme, les comités régionaux du tourisme et les agences nationales ou régionales chargées du développement économique territorial. Ce partage est limité aux territoires où nous avons établi des accords de partenariat formels.
Les données partagées avec nos partenaires institutionnels sont exclusivement des statistiques agrégées qui ne permettent pas d'identifier les utilisateurs individuels. Il s'agit notamment de statistiques sur les flux de visiteurs par site et par période, avec des données agrégées sur des cohortes minimales de dix utilisateurs ; de cartes thermiques montrant la concentration géographique des visites sans trajectoires individuelles ; d'indicateurs de mobilité, y compris la proportion d'utilisateurs recourant à des modes de transport durables ; de la durée moyenne des visites et des habitudes de visite ; des taux de conversion vers les entreprises partenaires présentés sous forme de pourcentages sans données individuelles sur les transactions ; et des tendances démographiques au niveau agrégé, telles que les tranches d'âge et les origines géographiques, sans transmission de profils individuels.
Le partage de ces données a pour objectif de permettre aux partenaires institutionnels d'optimiser la gestion des flux touristiques et de réduire la pression sur les sites saturés, de mesurer l'impact des politiques touristiques territoriales et de justifier les investissements publics, d'améliorer l'offre touristique locale sur la base de données réelles sur le comportement des visiteurs, de soutenir la prise de décision fondée sur des preuves pour le développement du tourisme durable, et de remplir notre mission de promotion du tourisme durable et de lutte contre le surtourisme.
Nous mettons en œuvre des mesures de protection techniques strictes pour protéger votre vie privée dans ce contexte. Toutes les données sont agrégées avec un seuil minimum de dix utilisateurs par point de données afin d'empêcher toute possibilité de réidentification. Aucune donnée brute individuelle n'est jamais transmise aux partenaires institutionnels. L'accès aux tableaux de bord analytiques est réservé aux utilisateurs authentifiés des organisations partenaires dans le cadre d'accords de confidentialité stricts. Toutes les transmissions de données respectent les protocoles de sécurité conformes au RGPD. Les processus d'agrégation et d'anonymisation sont conçus pour rendre la réidentification techniquement impossible.
Vous gardez le contrôle sur la participation de vos données. Vous pouvez choisir de ne pas être inclus dans ces statistiques agrégées via vos paramètres de confidentialité, mais cela peut limiter certaines fonctionnalités communautaires du Service. Même si vous choisissez de ne pas partager vos données analytiques, les données essentielles à la fourniture des fonctionnalités de base du Service continueront d'être collectées et traitées comme décrit ailleurs dans la présente Politique de confidentialité. Votre choix de ne pas participer s'applique spécifiquement à l'inclusion de vos données dans les rapports et tableaux de bord partagés avec les partenaires institutionnels.
La base juridique de ce traitement est notre intérêt légitime à soutenir le développement durable du tourisme et la croissance économique territoriale, qui n'est pas supplanté par vos droits et libertés fondamentaux compte tenu des mesures strictes d'anonymisation mises en place. Pour les utilisateurs qui ont consenti à l'utilisation de cookies analytiques, ce consentement couvre également ce partage de données institutionnelles.
6.3 Partenaires commerciaux
Nous pouvons partager des informations limitées avec des partenaires commerciaux qui proposent des récompenses et des offres dans le cadre de notre programme de partenariat. Ce partage est limité aux données anonymisées ou agrégées (par exemple, le nombre d'utilisateurs qui ont consulté une offre), sauf si vous consentez explicitement à partager des informations d'identification lors de l'échange d'une récompense.
6.4 Exigences légales et protection des droits
Nous pouvons divulguer vos informations si la loi l'exige ou en réponse à des demandes valides des autorités publiques (par exemple, un tribunal, une agence gouvernementale ou les forces de l'ordre). Nous pouvons également divulguer vos informations lorsque nous estimons que cette divulgation est nécessaire pour protéger nos droits, protéger votre sécurité ou celle d'autrui, enquêter sur une fraude ou répondre à une procédure judiciaire.
6.5 Transferts commerciaux
En cas de fusion, d'acquisition, de réorganisation, de faillite ou de vente de tout ou partie de nos actifs, vos données personnelles peuvent être transférées à l'entité acquéreuse. Nous vous informerons par e-mail et/ou par une notification bien visible dans l'application de tout changement de propriété ou de contrôle de vos données personnelles, et vous aurez la possibilité de supprimer votre compte si vous ne souhaitez pas que vos données soient transférées.
6.6 Données agrégées et anonymisées
Nous pouvons partager des informations agrégées ou anonymisées qui ne peuvent raisonnablement être utilisées pour vous identifier. Par exemple, nous pouvons partager des statistiques sur la popularité de Spot, les tendances générales d'utilisation ou les mesures d'engagement régional avec les offices de tourisme ou dans des rapports publics.
Comme décrit dans la section 6.2 ci-dessus, les données agrégées partagées avec les organismes touristiques publics sont soumises aux mêmes normes strictes d'anonymisation. Nous pouvons également utiliser des données agrégées dans des études de cas, des supports marketing et des rapports publics afin de démontrer l'efficacité du Service, à condition qu'aucun utilisateur individuel ne puisse être identifié et, le cas échéant, que les territoires partenaires spécifiques ne soient pas identifiés sans leur consentement explicite.
7. Transferts internationaux de données
Vos données personnelles peuvent être transférées et traitées dans des pays situés en dehors de l'Espace économique européen (EEE) qui peuvent ne pas offrir le même niveau de protection des données que votre pays d'origine. Plus précisément :
Certains de nos prestataires de services (par exemple, hébergement cloud, analyse) peuvent exploiter des serveurs ou entretenir des installations aux États-Unis ou dans d'autres pays non membres de l'EEE. Lorsque nous transférons vos données personnelles en dehors de l'EEE, nous veillons à ce que des garanties appropriées soient mises en place, notamment :
Clauses contractuelles types (SCC) : nous utilisons des clauses contractuelles types approuvées par la Commission européenne avec nos prestataires de services afin de garantir une protection adéquate de vos données. Décisions d'adéquation : nous transférons les données vers des pays qui ont été jugés par la Commission européenne comme offrant un niveau adéquat de protection des données. Bouclier de protection des données (le cas échéant) : pour les transferts vers des organisations certifiées dans le cadre des boucliers de protection des données UE-États-Unis ou Suisse-États-Unis (en tenant compte du statut juridique actuel du cadre). Garanties supplémentaires : nous effectuons des évaluations d'impact des transferts et mettons en œuvre des mesures techniques et organisationnelles supplémentaires si nécessaire.
Vous avez le droit d'obtenir des informations sur les mesures de protection que nous avons mises en place pour les transferts internationaux. Veuillez nous contacter à l'adresse legal@norlu.io pour plus d'informations.
9. Vos droits en vertu du RGPD
Si vous résidez dans l'Espace économique européen (EEE), au Royaume-Uni ou en Suisse, vous disposez des droits suivants concernant vos données personnelles :
9.1 Droit d'accès
Vous avez le droit d'obtenir la confirmation que nous traitons vos données personnelles et, le cas échéant, de demander l'accès à ces données. Cela inclut le droit de recevoir une copie de vos données personnelles en cours de traitement.
9.2 Droit de rectification
Vous avez le droit de demander la correction de données à caractère personnel inexactes et de faire compléter des données à caractère personnel incomplètes. Vous pouvez mettre à jour la plupart des informations de votre compte directement dans les paramètres de l'application.
9.3 Droit à l'effacement (« droit à l'oubli »)
Vous avez le droit de demander la suppression de vos données personnelles dans certaines circonstances, notamment lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, lorsque vous retirez votre consentement (lorsque le traitement est basé sur le consentement), lorsque vous vous opposez au traitement et qu'il n'existe aucun motif légitime impérieux, lorsque les données ont été traitées de manière illicite ou lorsque la suppression est nécessaire pour respecter une obligation légale.
Veuillez noter que nous pouvons conserver certaines informations conformément à la loi ou à des fins commerciales légitimes dans la mesure permise par la loi. Vous pouvez supprimer votre compte à tout moment via les paramètres de l'application.
9.4 Droit à la limitation du traitement
Vous avez le droit de demander la limitation du traitement de vos données à caractère personnel dans certaines circonstances, notamment lorsque vous contestez l'exactitude des données, lorsque le traitement est illicite mais que vous vous opposez à leur effacement, lorsque nous n'avons plus besoin des données mais que vous en avez besoin pour des actions en justice, ou lorsque vous vous êtes opposé au traitement en attendant la vérification des motifs légitimes.
9.5 Droit à la portabilité des données
Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de transmettre ces données à un autre responsable du traitement lorsque cela est techniquement possible. Ce droit s'applique lorsque le traitement est fondé sur le consentement ou un contrat et est effectué par des moyens automatisés.
Veuillez noter que la portabilité des données s'applique à vos données personnelles. Elle ne s'étend pas aux rapports analytiques agrégés ou aux tableaux de bord générés pour les partenaires institutionnels, car ceux-ci constituent des œuvres dérivées appartenant à Bjorn Interactive SAS et ne contiennent plus d'informations permettant d'identifier personnellement les utilisateurs.
9.6 Droit d'opposition
Vous avez le droit de vous opposer au traitement de vos données à caractère personnel lorsque ce traitement est fondé sur des intérêts légitimes. Vous pouvez exercer instantanément votre droit absolu de vous opposer au traitement de vos données à des fins d'analyse territoriale B2G en utilisant le bouton dédié à la confidentialité dans les paramètres de votre application. Nous cesserons de traiter vos données, sauf si nous pouvons démontrer des motifs légitimes et impérieux pour le traitement qui prévalent sur vos intérêts, droits et libertés, ou si le traitement est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.
Vous avez également le droit absolu de vous opposer au traitement de vos données personnelles à des fins de marketing direct.
9.7 Droit de retirer votre consentement
Lorsque le traitement est basé sur votre consentement, vous avez le droit de retirer ce consentement à tout moment. Le retrait du consentement n'affecte pas la licéité du traitement fondé sur le consentement avant son retrait. Vous pouvez retirer votre consentement pour les services de localisation, les notifications push et les analyses dans les paramètres de l'application.
9.8 Droit de déposer une plainte
Vous avez le droit de déposer une plainte auprès d'une autorité de contrôle, en particulier dans l'État membre de votre résidence habituelle, de votre lieu de travail ou du lieu de l'infraction présumée, si vous estimez que le traitement de vos données à caractère personnel enfreint le RGPD.
Pour les utilisateurs en France, l'autorité de contrôle compétente est : Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France, site web : www.cnil.fr
9.9 Droit relatif à la prise de décision automatisée
Vous avez le droit de ne pas être soumis à une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques vous concernant ou vous affectant de manière similaire de façon significative. Cela s'applique aux décisions telles que les interdictions permanentes de compte résultant de nos systèmes anti-triche.
Lorsqu'une décision automatisée est prise, vous avez le droit de demander une intervention humaine significative de notre part, d'exprimer votre point de vue et de contester la décision. Pour exercer ce droit, veuillez nous contacter à l'adresse legal@norlu.io
9.10 Exercice de vos droits
Pour exercer l'un des droits décrits ci-dessus, veuillez nous contacter à l'adresse legal@norlu.io ou via les paramètres de l'application. Nous répondrons à votre demande dans un délai d'un mois, mais ce délai peut être prolongé de deux mois supplémentaires si nécessaire, en tenant compte de la complexité et du nombre de demandes.
Nous pouvons vous demander des informations spécifiques afin de nous aider à confirmer votre identité et à garantir votre droit d'accès à vos données personnelles ou d'exercer vos autres droits. Il s'agit d'une mesure de sécurité visant à garantir que les données personnelles ne soient pas divulguées à toute personne qui n'a pas le droit de les recevoir.
10. Sécurité des données
Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout traitement non autorisé ou illégal, toute perte accidentelle, toute destruction ou tout dommage. Ces mesures comprennent :
Mesures techniques :
Cryptage des données en transit à l'aide des protocoles TLS/SSL ; Cryptage des données sensibles au repos (mots de passe, informations de paiement) ; Hachage sécurisé des mots de passe à l'aide de bcrypt ou Argon2 avec des facteurs de coût appropriés ; Évaluations de sécurité et tests de pénétration réguliers ; Systèmes automatisés de surveillance et de détection des intrusions ; Pratiques de développement logiciel sécurisées et processus de révision du code ; Mises à jour de sécurité et gestion des correctifs régulières ; et Contrôles d'accès aux bases de données et nettoyage des paramètres de requête.
Mesures organisationnelles :
Accès limité aux données personnelles en fonction du besoin d'en connaître ; Formation des employés aux pratiques de protection et de sécurité des données ; accords de confidentialité avec les employés et les sous-traitants ; accords de traitement des données avec tous les sous-traitants tiers ; procédures de réponse aux incidents et de notification des violations ; sauvegardes régulières et planification de la reprise après sinistre ; évaluations de l'impact sur la protection des données pour les activités de traitement à haut risque ; contrôles d'accès stricts pour les tableaux de bord des partenaires institutionnels avec authentification multifactorielle ; accords de confidentialité et accords de traitement des données avec toutes les organisations touristiques publiques recevant des analyses ; et audits réguliers des processus d'agrégation des données pour vérifier l'efficacité de l'anonymisation.
Malgré ces mesures, aucune méthode de transmission sur Internet ou de stockage électronique n'est totalement sécurisée. Bien que nous nous efforcions d'utiliser des moyens commercialement acceptables pour protéger vos données personnelles, nous ne pouvons garantir leur sécurité absolue. Si vous avez des raisons de croire que vos interactions avec nous ne sont plus sécurisées, veuillez nous contacter immédiatement à l'adresse support@norlu.io.
11. Confidentialité des enfants
Le Service est destiné aux utilisateurs âgés de 13 ans et plus. Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants de moins de 13 ans. Si vous avez moins de 13 ans, veuillez ne pas utiliser le Service ni fournir d'informations par son intermédiaire.
Si vous avez entre 13 et 18 ans (ou l'âge de la majorité dans votre juridiction), vous ne pouvez utiliser le Service qu'avec le consentement et sous la supervision d'un parent ou d'un tuteur légal.
Si nous apprenons que nous avons collecté des informations personnelles auprès d'un enfant de moins de 13 ans sans le consentement vérifiable de ses parents, nous supprimerons ces informations dans les plus brefs délais. Si vous pensez que nous pourrions détenir des informations provenant d'un enfant de moins de 13 ans ou le concernant, veuillez nous contacter à l'adresse legal@norlu.io.
12. Cookies et technologies de suivi
12.1 Types de technologies que nous utilisons
Le Service utilise des cookies et des technologies de suivi similaires pour collecter et stocker des informations. Ces technologies comprennent :
Cookies : petits fichiers texte stockés sur votre appareil qui nous aident à vous reconnaître et à mémoriser vos préférences. Stockage de session : stockage temporaire qui expire lorsque vous fermez l'application. Stockage local : stockage persistant pour la mise en cache des données et l'amélioration des performances. Identifiants mobiles : identifiants d'appareils tels que l'IDFA (iOS) ou l'identifiant publicitaire (Android) à des fins d'analyse et d'attribution. SDK : kits de développement logiciel provenant de services tiers qui peuvent collecter des données d'utilisation.
12.2 Catégories de cookies
Cookies essentiels : nécessaires au bon fonctionnement du service. Ces cookies permettent d'assurer des fonctionnalités essentielles telles que la sécurité, l'authentification et la gestion des sessions. Vous ne pouvez pas désactiver les cookies essentiels.
Cookies analytiques : ils nous aident à comprendre comment les utilisateurs interagissent avec le Service en collectant des informations sur les pages visitées, le temps passé et d'autres mesures d'utilisation. Nous utilisons des services tels que Google Analytics et Mixpanel à cette fin.
Cookies de performance : ils nous permettent de surveiller et d'améliorer les performances du Service, notamment les temps de chargement, les rapports d'incidents et le suivi des erreurs.
Cookies fonctionnels : ils permettent d'améliorer les fonctionnalités et la personnalisation, par exemple en mémorisant vos préférences et vos paramètres.
12.3 Gestion des cookies et du suivi
Vous pouvez gérer vos préférences en matière de cookies dans les paramètres de l'application. Veuillez noter que la désactivation de certains cookies peut limiter votre capacité à utiliser certaines fonctionnalités du Service.
Pour les identifiants publicitaires mobiles : les utilisateurs iOS peuvent limiter le suivi publicitaire ou réinitialiser leur identifiant publicitaire via Paramètres > Confidentialité > Publicité. Les utilisateurs Android peuvent désactiver les publicités personnalisées ou réinitialiser leur identifiant publicitaire via Paramètres > Google > Publicités.
13. Liens et services tiers
Le Service peut contenir des liens vers des sites web, des applications ou des services tiers qui ne nous appartiennent pas et ne sont pas contrôlés par nous, y compris les sites web de nos partenaires et les plateformes de réseaux sociaux. La présente Politique de confidentialité s'applique uniquement aux informations collectées par notre Service.
Nous ne sommes pas responsables des pratiques de confidentialité des sites Web ou services tiers. Nous vous encourageons à consulter les politiques de confidentialité de tout site ou service tiers avant de leur fournir vos informations personnelles.
Lorsque vous utilisez l'authentification d'un tiers (connexion Google ou connexion Apple), vous êtes également soumis aux politiques de confidentialité et aux conditions d'utilisation de ces fournisseurs.
14. Modifications de la présente politique de confidentialité
Nous pouvons mettre à jour la présente politique de confidentialité de temps à autre afin de refléter les changements apportés à nos pratiques, à notre technologie, aux exigences légales ou à d'autres facteurs. Lorsque nous apportons des modifications importantes à la présente politique de confidentialité, nous vous en informons par les moyens suivants :
Envoi d'un e-mail à l'adresse e-mail associée à votre compte ; Affichage d'un avis bien visible dans l'application ; et Mise à jour de la « date d'entrée en vigueur » au début de la présente politique de confidentialité.
Nous vous encourageons à consulter régulièrement la présente politique de confidentialité afin de rester informé de la manière dont nous protégeons vos informations. Votre utilisation continue du service après la publication ou l'envoi d'un avis de modification de la présente politique de confidentialité signifie que vous acceptez la politique de confidentialité mise à jour.
Si vous n'acceptez pas les modifications apportées à la Politique de confidentialité, vous devez cesser d'utiliser le Service et pouvez supprimer votre compte conformément à nos Conditions générales.
15. Droits supplémentaires pour les résidents de Californie (CCPA)
Si vous résidez en Californie, vous disposez de droits supplémentaires en vertu de la loi californienne sur la protection de la vie privée des consommateurs (CCPA) :
Droit de savoir : vous avez le droit de demander des informations sur les catégories et les éléments spécifiques d'informations personnelles que nous avons collectés à votre sujet, les catégories de sources à partir desquelles nous avons collecté ces informations, les fins commerciales ou professionnelles de la collecte de ces informations et les catégories de tiers avec lesquels nous partageons ces informations personnelles.
Droit de suppression : vous avez le droit de demander la suppression de vos informations personnelles, sous réserve de certaines exceptions.
Droit de refuser la vente : nous ne vendons pas vos informations personnelles telles que définies par la CCPA.
Droit à la non-discrimination : nous ne ferons aucune discrimination à votre égard pour avoir exercé l'un de vos droits en vertu de la CCPA.
Pour exercer ces droits, veuillez nous contacter à l'adresse legal@norlu.io ou via les paramètres de l'application. Nous vérifierons votre identité avant de traiter votre demande.
16. Coordonnées
Si vous avez des questions, des préoccupations ou des réclamations concernant la présente politique de confidentialité ou nos pratiques en matière de données, veuillez nous contacter à l'adresse suivante :
Bjorn Interactive SAS
Siège social : Rosheim, Alsace, France
E-mail : norlu@bjorninteractive.com
Contact confidentialité : Amaury Dreher (legal@norlu.io)
Assistance : support@norlu.io
Nous nous engageons à travailler avec vous pour trouver une solution équitable à toute plainte ou préoccupation relative à la confidentialité. Toutefois, si vous estimez que nous n'avons pas été en mesure de répondre à votre plainte ou à votre préoccupation, vous avez le droit de déposer une plainte auprès de l'autorité de protection des données de votre juridiction.
———
FIN DE LA POLITIQUE DE CONFIDENTIALITÉ