Politique de Confidentialité

Shabon accorde une importance primordiale à la protection de vos données personnelles et au respect de votre vie privée. Cette Politique de Confidentialité vous informe de manière transparente sur la collecte, l'utilisation et la protection de vos données.

Conformité : RGPD (UE 2016/679), Loi Informatique et Libertés, Digital Services Act (DSA), ePrivacy

1. Responsable du Traitement et Délégué à la Protection des Données

Responsable du traitement

SHABON
Société par actions simplifiée
Capital social : 19 191 euros
RCS Paris : 993 549 971
SIRET : 99354997100014
Siège social : 10 rue de la Paix, 75002 Paris, France
Email : contact@shabon.fr

Délégué à la Protection des Données (DPO)

Conformément à l'article 37 du RGPD, Shabon a désigné un Délégué à la Protection des Données.

Contact DPO : dpo@shabon.fr

2. Données Personnelles Collectées

2.1. Les quatre niveaux de compte

Bulle propose quatre niveaux de compte selon les données que vous choisissez de fournir et vérifier. Chaque niveau débloque des fonctionnalités supplémentaires et modifie les restrictions d'usage. Pour consulter les fonctionnalités et restrictions de chaque niveau, voir la Section 4 des CGU.

Compte Standard (obligatoire)

Données minimales requises à l'inscription :

Identité : Pseudonyme
Coordonnées : Adresse email
Authentification : Mot de passe (hashé et salé)
Âge : Date de naissance (auto-déclaration pour protection des mineurs)
Paramètres : Langue, pays

Important : Les utilisateurs de niveau Standard se voient automatiquement appliquer les restrictions les plus strictes (contenu filtré -15 ans, limitations d'usage).

Compte Vérifié (vérification téléphone)

En plus des données du Compte Standard, vous fournissez :

Numéro de téléphone : Vérifié par code SMS (non conservé après vérification initiale)

Ce niveau débloque l'accès aux contenus +15 ans pour les utilisateurs ayant déclaré plus de 15 ans, et des fonctionnalités supplémentaires (réactions, filtrage de contenu).

Compte Certifié (vérification d'identité complète)

En plus des données du Compte Vérifié, vous fournissez :

Pièce d'identité : Carte nationale d'identité, passeport ou permis de conduire (traité par notre prestataire certifié de vérification d'identité)
Vérification biométrique : Selfie comparé à la pièce d'identité (supprimé après vérification réussie)
Âge vérifié : Extrait de votre pièce d'identité et conservé

Finalité : La vérification d'identité permet de garantir votre âge réel et d'adapter les restrictions d'usage et le contenu accessible en conséquence. La pièce d'identité est conservée par notre prestataire (conforme RGPD) afin d'éviter les usurpations d'identité et éviter la création de multiples comptes en cas de banissement définitif.

Compte Professionnel

Réservé aux créateurs de contenu majeurs (18 ans minimum vérifiés) ayant un Compte Certifié. La rémunération nécessite 10 000 abonnés dont 3 000 Certifiés.

En plus des données du Compte Certifié, nous collectons :

Données de rémunération : Informations bancaires (IBAN), données fiscales (uniquement si accès à la rémunération)
Statistiques de contenu : Vues, engagement, données d'audience

2.2. Données de profil (facultatives pour tous)

Quel que soit votre niveau de compte, vous pouvez enrichir votre profil avec :

Profil public : Photo de profil, biographie, centres d'intérêt
Préférences : Paramètres de confidentialité, notifications, thème, langue

Note : Ces données sont entièrement facultatives et peuvent être modifiées ou supprimées à tout moment depuis vos paramètres.

2.3. Données collectées automatiquement

Techniques : Adresse IP, type d'appareil, système d'exploitation, version de l'app, identifiant unique
Connexion : Date, heure, durée de session, pages consultées
Localisation : Approximative uniquement (50km de précision)

2.4. Données générées par votre utilisation

Contenus : Publications, photos, vidéos, commentaires, messages
Interactions : Abonnements, abonnés, likes, partages
Messages privés : Non chiffrés
Signalements : Contenus ou utilisateurs signalés

DONNÉES SENSIBLES : Nous ne collectons PAS intentionnellement de données sensibles (origine raciale, opinions politiques, convictions religieuses, santé, orientation sexuelle, données biométriques). Si vous révélez volontairement de telles données dans vos publications, elles relèvent de votre responsabilité.

3. Finalités et Bases Légales du Traitement

Finalité	Base légale	Données concernées
Création et gestion du compte	Exécution du contrat	Identité, coordonnées, authentification
Fourniture du Service	Exécution du contrat	Toutes données de profil, contenus, interactions
Personnalisation (recommandations de contenu)	Intérêt légitime	Comportement, préférences déclarées
Personnalisation (recommandations, producteurs locaux)	Consentement	Centres d'intérêt déclarés, localisation approximative (≈50km)
Amélioration du Service	Intérêt légitime	Statistiques agrégées et anonymisées
Modération et lutte contre les abus	Obligation légale + Intérêt légitime	Contenus, signalements, données techniques
Sécurité et prévention de la fraude	Intérêt légitime	Connexion, techniques, comportement, localisation approximative (≈50km)
Service client	Exécution du contrat	Identité, coordonnées, historique
Respect des obligations légales	Obligation légale	Toutes données nécessaires

Vos droits : Pour les traitements fondés sur l'intérêt légitime, vous disposez d'un droit d'opposition. Pour les traitements fondés sur le consentement (publicité), vous pouvez retirer votre consentement à tout moment.

4. Publicité et Recommandations Personnalisées

4.1. Principe général

Bulle peut afficher de la publicité pour financer le Service gratuit. Les publicités apparaissent dans votre fil de vidéos, filtrées selon les mêmes critères que les vidéos organiques.

4.2. Fonctionnement du filtrage de contenu

Bulle utilise un système de filtrage par centres d'intérêt :

Vous sélectionnez vos centres d'intérêt (cuisine, sport, technologie, etc.)
Ces centres d'intérêt créent un filtre unique qui s'applique à tous les contenus de votre fil
Vidéos organiques et publicités sont filtrées de la même manière

Important : Il ne s'agit pas de "publicité ciblée" au sens traditionnel du terme. Nous ne créons pas de profil publicitaire ni ne trackons vos comportements, contrairement aux autres plateformes. Vos centres d'intérêt déclarés servent simplement de filtre pour vous montrer des contenus (vidéos et publicités) pertinents pour vous.

4.3. Gestion de vos préférences

Vous pouvez à tout moment :

Modifier vos centres d'intérêt : Paramètres > Confidentialité > Centres d'intérêt
Ajouter ou supprimer des catégories
Affiner le type de contenus que vous souhaitez voir

Notre engagement : Nous ne vendons JAMAIS vos données. Les annonceurs choisissent des catégories générales pour leurs publicités (ex: "sport", "cuisine"), et celles-ci sont affichées aux utilisateurs ayant sélectionné ces centres d'intérêt. Les annonceurs ne reçoivent jamais vos données personnelles.

4.4. Données utilisées et non utilisées

Données utilisées pour le filtrage :

Centres d'intérêt déclarés par vous (cuisine, sport, technologie, etc.)
Âge et pays (pour respecter les réglementations et filtrer les contenus inappropriés)
Localisation pour favoriser les producteurs et services locaux.

Données non utilisées :

Nom, prénom, email, téléphone
Contenus de vos messages privés
Données sensibles (santé, orientation sexuelle, religion, etc.)
Historique de navigation hors de Bulle
Comportements détaillés ou profils psychologiques

4.5. Conformité RGPD

          🇪🇺 Notre approche conforme au RGPD :

              Transparence : Vous savez exactement quels
              centres d'intérêt vous avez sélectionnés et pouvez les modifier à
              tout moment
            
              Contrôle utilisateur : Vous choisissez vos
              centres d'intérêt et décidez des contenus que vous souhaitez voir
            
              Traitement en interne uniquement : Vos données ne
              sont JAMAIS vendues, louées ou partagées avec des
              annonceurs tiers. Tout le traitement est effectué par nos serveurs
              en Europe
            
              Minimisation des données : Nous utilisons
              uniquement vos centres d'intérêt déclarés, rien de plus
            
              Pas de tracking : Nous ne suivons pas vos
              comportements de navigation ni ne créons de profils détaillés
            
              Égalité de traitement : Publicités et vidéos
              organiques sont filtrées exactement de la même manière
            
              Données internes : Les annonceurs ne voient
              jamais vos données personnelles ni même que vous avez vu leur
              publicité

4.6. Comment ça fonctionne concrètement

Exemple : Vous sélectionnez "cuisine" et "sport" comme centres d'intérêt.

Votre fil : Vous verrez des vidéos et des publicités liées à la cuisine et au sport
Ce que nous ne faisons PAS : Analyser vos comportements pour deviner vos intérêts cachés, vendre votre profil à des annonceurs, tracker vos activités hors de Bulle, ou créer un profil psychologique détaillé.

4.7. Pour les mineurs et utilisateurs non vérifiés

PROTECTION RENFORCÉE :

Filtrage par centres d'intérêt uniquement
Contenus adaptés à l'âge (filtrage strict des publicités et vidéos inappropriées)
Aucun tracking comportemental

5. Protection Spécifique des Mineurs

ENGAGEMENT FORT : Shabon accorde une attention particulière à la protection des données des mineurs et à leur sécurité en ligne, conformément au RGPD et à la réglementation française.

5.1. Collecte de l'âge et vérification

Compte Standard : Date de naissance auto-déclarée (non vérifiée). Les restrictions les plus strictes sont automatiquement appliquées.
Compte Vérifié : Date de naissance déclarée, vérification du téléphone uniquement (l'âge reste non vérifié)
Compte Certifié : Âge vérifié via pièce d'identité officielle. L'âge exact est extrait et conservé pour filtrer le contenu aux mineurs. La pièce d'identité est conservée, pour prévenir de l'abus de création de multiples comptes à répétition, notamment pour contourner le banissement définitif.

5.2. Finalités du traitement de l'âge

Nous utilisons votre âge (déclaré ou vérifié) pour :

Appliquer les restrictions d'usage quotidiennes adaptées (1h30 ou 3h selon l'âge)
Activer les couvre-feux appropriés (23h-07h pour -15 ans, 01h-06h pour 15-17 ans, aucun pour +18 ans)
Filtrer le contenu accessible (contenu -15 ans, +15 ans, +18 ans)
Limiter les fonctionnalités selon l'âge et le niveau de compte
Respecter nos obligations légales de protection des mineurs

Base légale : Obligation légale (protection des mineurs) et intérêt légitime (sécurité des utilisateurs).

Pour consulter le détail des restrictions par âge et niveau de compte, voir la Section 4 des CGU.

5.3. Consentement parental (13-14 ans)

Les mineurs de 13 à 14 ans doivent obtenir le consentement de leurs parents ou tuteurs légaux. Nous collectons :

Email du parent/tuteur
Confirmation du consentement (horodatée)
Possibilité pour le parent de révoquer le consentement à tout moment via minors@shabon.fr

Conservation : Le consentement parental est conservé tant que le mineur est âgé de 13 à 14 ans, puis désactivé automatiquement.

5.4. Suivi du temps d'utilisation et couvre-feux

Pour appliquer les limitations d'usage quotidiennes et les couvre-feux décrits dans les CGU, nous collectons automatiquement :

Horodatage des connexions et déconnexions
Durée cumulée d'utilisation par période de 24h glissantes
Alertes d'usage envoyées (systématique après 1h d'utilisation continue pour tous les utilisateurs)
Tentatives d'accès pendant les heures de couvre-feu

Base légale : Obligation légale et intérêt légitime (protection des mineurs, prévention de l'addiction)

Conservation : Ces données sont conservées 30 jours puis agrégées de façon anonyme pour statistiques globales.

5.5. Vérification d'identité pour comptes Certifiés

Lorsqu'un utilisateur souhaite passer au niveau Certifié, nous utilisons un prestataire tiers certifié de vérification d'identité qui :

Analyse la pièce d'identité (CNI, passeport, permis de conduire)
Vérifie l'authenticité du document (détection de faux)
Compare le selfie à la photo de la pièce d'identité (vérification biométrique)
Nous transmet la date de naissance

5.6. Protections renforcées pour les mineurs

En complément des restrictions d'usage, nous appliquons :

Modération prioritaire : Traitement sous 24h des signalements impliquant des mineurs
Filtrage de contenu strict : Blocage automatique des contenus sensibles, violents ou à caractère sexuel
Limitation des interactions : Fonctionnalités sociales limitées selon l'âge et le niveau de compte
Pas de publicité ciblée : Les mineurs ne voient que des publicités générales filtrées par centres d'intérêt déclarés

5.7. Droits spécifiques des mineurs et de leurs parents

Mineurs de 13-14 ans : Les parents/tuteurs peuvent exercer tous les droits RGPD au nom du mineur (accès, rectification, effacement, opposition, etc.)
Mineurs de 15-17 ans : Les parents/tuteurs peuvent exercer tous les droits RGPD au nom du mineur mais ils peuvent également exercer leurs droits directement.

Contact pour les parents : minors@shabon.fr

5.8. Signalement de contenu inapproprié ou de comportement suspect

Les mineurs, leurs parents, ou tout utilisateur peuvent signaler :

Contenu inapproprié pour mineurs
Comportement suspect ou prédateur
Tentative de contournement des restrictions d'âge
Harcèlement ou cyberharcèlement

Email prioritaire : minors@shabon.fr
Traitement sous 24 heures maximum.

TOLÉRANCE ZÉRO : Toute tentative de contournement des protections pour mineurs, de sollicitation inappropriée de mineurs, ou de publication de contenu préjudiciable aux mineurs entraînera un bannissement définitif et un signalement aux autorités compétentes. Shabon se réserve le droit d'engager des poursuites judiciaires.

Vous devez obligatoirement déclarer votre date de naissance. Cette information permet de :

Bloquer l'accès aux moins de 13 ans (conformément au RGPD)
Appliquer des protections renforcées aux mineurs (13-17 ans)
Respecter l'interdiction de publicité ciblée aux mineurs

5.5.2. Vérification par téléphone mobile (Compte Vérifié)

Pour débloquer toutes les fonctionnalités, vous pouvez vérifier votre numéro de téléphone mobile via l'envoi d'un code SMS.

          Pourquoi cette vérification ?
          Confirmer que vous êtes une personne réelle (pas un bot)
Limiter la création de faux comptes
Renforcer la sécurité de votre compte

              Mesure renforcée pour protéger
              les mineurs (présomption que le titulaire du forfait mobile est
              majeur ou qu'un mineur l'utilise sous contrôle parental)
            

        

Données collectées :

Numéro de téléphone, date de vérification, statut vérifié
PAS de nom du titulaire, opérateur, adresse, historique d'appels

Base légale : Intérêt légitime (sécurité, protection mineurs) + Exécution du contrat

Conservation : Tant que compte actif, supprimé sous 30 jours après suppression du compte

5.5.3. Vérification d'identité complète (Compte Certifié)

Pour commenter, envoyer des messages, ou devenir créateur de contenu et accéder à la monétisation, une vérification d'identité complète est obligatoire.

Processus :

Soumission d'une pièce d'identité valide (CNI, passeport, permis)
Selfie en direct avec liveness detection
Vérification automatique par prestataire certifié (Stripe Identity)
Validation quasi-instantanée

Sous-traitants : Stripe Identity (certifiés ISO 27001, conformité RGPD)

6. Destinataires des Données

6.1. En interne (Shabon)

Accès limité aux personnes habilitées :

Équipes techniques (maintenance, développement)
Service client et support
Équipe de modération
Service juridique et conformité
Direction

6.2. Autres utilisateurs

Selon vos paramètres de confidentialité :

Public : Pseudonyme, photo, biographie, publications publiques
Vos abonnés : Contenus partagés avec eux
Interactions privées : Messages, commentaires

6.3. Prestataires (sous-traitants RGPD)

Partenaires soumis à des obligations contractuelles strictes :

Hébergement : OVH (serveurs en France, certifiés ISO 27001, conformité RGPD)
Services cloud : Supabase sur infrastructure AWS Europe (conformité RGPD)
Emailing : Brevo (serveurs en Europe, conformité RGPD)
Identité : Stripe Identity (certifié ISO 27001, PCI-DSS, conformité RGPD)
Paiement : RevenueCat (conformité PCI-DSS)
Vérification téléphone : Twilio (certifié ISO 27001, conformité RGPD)

GARANTIE : Tous nos sous-traitants sont situés dans l'Union Européenne ou bénéficient de garanties appropriées. Nous ne vendons JAMAIS vos données à des tiers.

6.4. Autorités publiques

Uniquement sur réquisition légale :

Réquisition judiciaire ou administrative
Protection des droits et de la sécurité
Lutte contre les contenus illicites

6.5. Annonceurs

          IMPORTANT - Relation avec les annonceurs :
          
              Les annonceurs ne reçoivent JAMAIS vos données
              personnelles identifiantes
            
              Ils voient uniquement des
              statistiques agrégées et anonymisées (ex: "1000
              vues par des 18-25 ans")
            
              Les recommandations sont effectuées
              en interne par nos serveurs
            
Aucun tracker tiers sur notre Application

7. Transferts de Données Hors Union Européenne

Nous privilégions le stockage et le traitement en Europe. Certains prestataires peuvent être hors UE avec garanties appropriées.

7.1. Garanties mises en œuvre

Décision d'adéquation de la Commission Européenne
Certifications (Privacy Shield successeur, ISO 27001, etc.)

7.2. Transferts actuels

AWS (infrastructure Supabase) : Région Europe
Stripe (paiements) : Certifié PCI-DSS
Twilio (téléphone) : Certifié PCI-DSS

8. Durée de Conservation des Données

Type de données	Durée de conservation	Base
Données de compte actif	Durée de vie du compte + 30 jours	Contrat
Contenus publiés	Jusqu'à suppression + 30 jours backup	Contrat
Messages privés	Jusqu'à suppression + 30 jours backup	Contrat
Logs de connexion	12 mois maximum	Obligation légale (LCEN)
Cookies et traceurs	13 mois maximum	CNIL
Données de facturation	10 ans	Code de commerce
Signalements/modération	3 ans après clôture	Intérêt légitime
Données contentieux	Durée de prescription légale	Obligation légale

À l'expiration, vos données sont supprimées définitivement ou anonymisées de manière irréversible.

9. Sécurité des Données

9.1. Mesures techniques

Chiffrement : SSL/TLS pour communications
Messages privés : Non chiffrés
Mots de passe : Hashage et salage
Tests : Audits réguliers, pentests
Monitoring : 24/7

9.2. Mesures organisationnelles

Formation régulière du personnel
Principe du moindre privilège
Procédures de gestion des incidents
Clauses de confidentialité
Analyses d'impact (AIPD)

9.3. Notification des violations

Conformément à l'article 33 du RGPD, en cas de violation de données susceptible d'engendrer un risque pour vos droits :

Notification à la CNIL sous 72 heures
Information des utilisateurs concernés si risque élevé
Recommandations de protection

10. Vos Droits sur vos Données Personnelles

Conformément au RGPD, vous disposez des droits suivants :

10.1. Droit d'accès (Art. 15 RGPD)

Obtenir :

Confirmation du traitement de vos données
Copie de vos données personnelles
Informations sur les traitements

10.2. Droit de rectification (Art. 16 RGPD)

Corriger vos données inexactes ou incomplètes. Accessible directement dans Mon profil > Paramètres pour la plupart des données.

10.3. Droit à l'effacement / "Droit à l'oubli" (Art. 17 RGPD)

Demander la suppression de vos données si :

Elles ne sont plus nécessaires
Vous retirez votre consentement
Vous vous opposez au traitement
Le traitement est illicite
Obligation légale de suppression

Suppression de compte :

Via l'app : Mon profil > Paramètres > Identifiants > Supprimer mon compte
Par email : contact@shabon.fr

Suppression définitive sous 30 jours (sauf obligations légales). Délai de rétractation de 7 jours.

10.4. Droit à la limitation (Art. 18 RGPD)

Demander le gel temporaire du traitement dans certains cas.

10.5. Droit à la portabilité (Art. 20 RGPD)

Recevoir vos données en format structuré, lisible et interopérable (JSON, CSV) et les transmettre à un autre responsable.

Disponible via : Paramètres > Préférences > Confidentialité > Télécharger mes données

10.6. Droit d'opposition (Art. 21 RGPD)

Vous opposer à tout moment :

Au marketing direct (effet immédiat)
Aux traitements fondés sur l'intérêt légitime
À la publicité ciblée (Paramètres > Préférences > Confidentialité > Publicité)

10.7. Droit de retirer votre consentement

Pour les traitements fondés sur le consentement, vous pouvez retirer votre consentemment à tout moment dans vos paramètres.

10.8. Exercer vos droits

Comment procéder :

Email : contact@shabon.fr
Courrier : Shabon - DPO, 10 rue de la Paix, 75002 Paris (avec copie pièce d'identité)
App : Paramètres > A propos > Nous contacter

Délai de réponse : 1 mois maximum (prolongeable de 2 mois si complexe, avec notification)

10.9. Droit de réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site : www.cnil.fr
Plainte en ligne : www.cnil.fr/fr/plaintes

11. Modifications de la Politique de Confidentialité

Nous pouvons modifier cette Politique à tout moment, notamment pour nous conformer à toute évolution réglementaire, jurisprudentielle ou technique.

Notification des modifications

En cas de modification substantielle, vous serez informé par :

Notification dans l'Application
Email à l'adresse enregistrée

Les modifications prennent effet 7 jours après notification. L'utilisation continue vaut acceptation. Si vous refusez, vous pouvez supprimer votre compte avant la prise d'effet.

Historique des versions : Disponible sur demande auprès du DPO.

12. Contact et Exercice de vos Droits

Pour toute question ou exercer vos droits :

Délégué à la Protection des Données (DPO) : dpo@shabon.fr
Service Client : support@shabon.fr
Protection des mineurs : minors@shabon.fr
Courrier : Shabon - DPO, 10 rue de la Paix, 75002 Paris

Délais de réponse : 1 mois maximum (prolongeable de 2 mois si complexe, avec notification)