Politique de confidentialité

La présente politique décrit les traitements de données à caractère personnel mis en œuvre par l'application Cap27, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« loi Informatique et Libertés »).

Résumé

Cap27 est conçu selon le principe « privacy by design » :

• vos réponses au quiz et vos préférences restent localement sur votre appareil ;
• aucun compte n'est créé, aucun mot de passe ni identifiant personnel n'est demandé ;
• une mesure d'audience pseudonymisée strictement statistique est transmise à Firebase Analytics, dans les conditions de l'exemption de consentement CNIL ;
• aucun cookie publicitaire, aucun traceur tiers, aucun pisteur cross-app.

1. Responsable du traitement

Ahmed Abidi, éditeur non professionnel de l'application Cap27 au sens de l'article 6.III.2 de la LCEN, est responsable du traitement au sens de l'article 4.7 du RGPD.

• Contact : contact@cap27.fr

L'éditeur n'a pas désigné de Délégué à la Protection des Données (DPO), n'y étant pas assujetti à titre obligatoire au regard de l'article 37 du RGPD (absence de traitement à grande échelle de données sensibles ou de surveillance régulière à grande échelle).

2. Données stockées localement sur votre appareil

Les données suivantes sont enregistrées uniquement dans le stockage privé de l'application sur votre appareil et ne sont jamais transmises à un serveur :

• vos réponses au quiz (axe et intensité de -2 à +2) ;
• l'index de la dernière question affichée, pour permettre la reprise du quiz ;
• la source d'attribution éventuelle (utm_source, utm_campaign, utm_partner) si vous avez ouvert l'application via un lien partenaire ;
• la date à laquelle vous avez confirmé votre inscription sur les listes électorales depuis service-public.fr ;
• vos préférences d'interface (thème, langue).

Aucun identifiant direct (nom, prénom, e-mail, numéro de téléphone, adresse postale, identifiant officiel) n'est jamais collecté ni stocké par l'application.

Base juridique (RGPD art. 6.1.b) : exécution d'un service demandé par l'utilisateur (le quiz lui-même).

Durée de conservation : illimitée tant que l'application reste installée. La désinstallation supprime l'intégralité des données locales, de manière irrévocable.

3. Mesure d'audience — Firebase Analytics

L'application transmet à Firebase Analytics (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande) une mesure d'audience pseudonymisée, configurée conformément à l'exemption de consentement prévue par la délibération CNIL n° 2020-091 du 17 septembre 2020.

Événements transmis

La liste des événements transmis est limitative et énumérée ci-dessous :

| Événement | Finalité | |-----------|----------| | app_open | Compter les ouvertures de l'application | | quiz_started | Mesurer l'engagement initial | | quiz_completed | Mesurer le taux de complétion du quiz | | result_viewed | Mesurer l'usage de l'écran de résultats | | share_card_generated | Mesurer le partage des cartes de résultat (format : story / square) | | inscription_cta_tapped | Mesurer l'usage du bouton d'inscription sur les listes |

Aucun de ces événements ne contient de donnée à caractère personnel directement identifiante, ni le détail des réponses au quiz, ni la position politique calculée, ni les préférences de l'utilisateur. Firebase reçoit exclusivement des compteurs agrégés.

Caractéristiques techniques de l'exemption CNIL

• Adresse IP : tronquée avant tout enregistrement (anonymisation au niveau du sous-réseau).
• Identifiant d'application : pseudonymisé, non rattachable à une personne sans information complémentaire.
• Pas de croisement avec d'autres traitements ou avec d'autres jeux de données Firebase.
• Pas d'usage publicitaire : Google Signals désactivé, intégration Google Ads désactivée, ciblage et remarketing désactivés.
• Pas de transfert vers des tiers au-delà de Google Ireland Limited.
• Région de traitement : europe-west1 (Belgique).

Base juridique

Intérêt légitime au sens de l'article 6.1.f du RGPD, équilibré avec les droits et libertés des utilisateurs grâce aux garanties de pseudonymisation et de minimisation décrites ci-dessus, et conformes à la délibération CNIL n° 2020-091.

Durée de conservation

14 mois à compter de la collecte (limite minimale configurable dans Firebase Analytics, en deçà du plafond de 25 mois autorisé par la CNIL).

Transferts hors UE

Les données sont traitées dans la région europe-west1 (Belgique). Google Ireland Limited peut, dans le cadre de son administration technique, recourir à des transferts intra-groupe vers les États-Unis. Ces transferts sont encadrés par le Data Privacy Framework UE-États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023) et par les clauses contractuelles types approuvées par la Commission. Le détail est disponible dans la documentation Google : https://policies.google.com/privacy/frameworks.

4. Pas de cookies, pas de pisteurs publicitaires

L'application :

• n'utilise aucun cookie au sens de l'article 82 de la loi Informatique et Libertés ;
• ne charge aucun SDK publicitaire ;
• n'effectue aucun pistage cross-app ni cross-device ;
• ne sollicite aucun identifiant publicitaire (IDFA sur iOS, AAID sur Android).

5. Transparence dans l'interface

Cap27 affiche les engagements de la présente politique directement dans l'interface, sous forme synthétique et lisible, afin que l'utilisateur n'ait pas besoin d'ouvrir le présent document pour connaître le périmètre du traitement.

Onboarding — écran « Conçu pour respecter votre vie privée »

Le dernier écran du parcours d'introduction (étape 6/6, présenté avant tout usage du quiz) résume cette politique en quatre engagements :

• Anonyme — aucun compte, aucun e-mail — reflète l'absence de collecte d'identifiant direct (cf. §2).
• Hors-ligne — vos réponses restent sur l'appareil — reflète le stockage local exclusif des données du quiz (cf. §2).
• Sans publicité — aucun pisteur ni profilage — reflète l'absence de SDK publicitaire et d'identifiant marketing (cf. §4).
• Mesure d'audience anonyme — désactivable — reflète la mesure pseudonymisée Firebase Analytics et le droit d'opposition décrit au §6 (désactivable depuis les paramètres système Android / iOS).

Écran d'accueil — bandeau de confiance

Le pied de l'écran d'accueil reprend trois piliers de cette politique sous forme de chips :

• Algorithme public — méthodologie de scoring documentée dans l'application ;
• Sources citées — chaque position de candidat est rattachée à une source publique vérifiable ;
• Sans publicité — aucun pisteur publicitaire, conformément au §4.

Engagement de parité

Toute évolution du périmètre technique (nouvel événement analytique, ajout d'un sous-traitant, modification d'une finalité) déclenche simultanément la mise à jour du présent document et des chaînes de l'interface (onboarding, écran d'accueil, réglages), conformément à la procédure décrite au §9.

6. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès (art. 15) — l'application affiche directement les données stockées localement (réponses au quiz dans l'écran « Mes réponses »).
• Droit de rectification (art. 16) — vous pouvez modifier vos réponses à tout moment depuis l'écran de quiz.
• Droit à l'effacement (art. 17) — bouton « Effacer mes données » dans les réglages : supprime instantanément et définitivement toutes les données locales.
• Droit à la limitation du traitement (art. 18) — désactivation de la mesure d'audience dans les paramètres système (préférences de confidentialité Android / iOS).
• Droit à la portabilité (art. 20) — exportation au format JSON disponible dans les réglages (« Exporter mes données »).
• Droit d'opposition (art. 21) — vous pouvez vous opposer au traitement statistique en désactivant la mesure d'audience.
• Désinstallation — équivaut à un effacement total de toutes les données locales et coupe toute transmission ultérieure.

Aucun compte n'étant créé, il n'existe pas de procédure de récupération distincte : la désinstallation ou l'effacement local valent effacement complet du côté utilisateur.

Mineurs

Conformément à l'article 8 du RGPD et à l'article 7-1 de la loi Informatique et Libertés, pour les mineurs de moins de 15 ans, le traitement effectué dans le cadre de la mesure d'audience requiert le consentement conjoint des titulaires de l'autorité parentale. Le consentement à la mesure d'audience peut être refusé ou retiré à tout moment dans les paramètres système, sans incidence sur l'usage du service.

Réclamation auprès de la CNIL

Conformément à l'article 77 du RGPD, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Site : https://www.cnil.fr/fr/plaintes

Vous pouvez également saisir l'autorité de protection des données de votre État membre de résidence.

7. Sécurité

Les données locales sont stockées dans le stockage privé sandboxé de l'application, conformément aux mécanismes natifs de protection d'Android (Context.filesDir) et d'iOS (NSHomeDirectory). Aucune donnée sensible (au sens de l'article 9 du RGPD) n'est traitée. Les communications avec Firebase Analytics sont chiffrées en transit (TLS 1.2+).

8. Conservation

| Donnée | Durée | |--------|-------| | Données locales (réponses au quiz, préférences) | Tant que l'application est installée | | Événements Firebase Analytics | 14 mois |

L'éditeur s'engage à supprimer les données analytiques à l'issue de la finalité électorale du projet, au plus tard six mois après la clôture du second tour de l'élection présidentielle de 2027.

9. Modifications de la présente politique

La présente politique peut être mise à jour pour refléter des évolutions du service ou du cadre légal. Toute modification substantielle (ajout d'événement de mesure, changement de finalité, modification du sous-traitant analytique) sera notifiée par une bannière à l'ouverture de l'application avec un préavis de 30 jours avant son entrée en vigueur. Pendant ce délai, l'utilisateur peut s'opposer aux changements en désactivant la mesure d'audience ou en désinstallant l'application.

Les chaînes de l'interface (onboarding, écran d'accueil, réglages) sont mises à jour dans le même cycle de publication que le présent document, afin de préserver la parité décrite au §5.

10. Contact

Pour toute question relative à vos données personnelles ou à l'exercice de vos droits :

• E-mail : contact@cap27.fr (boîte gérée par l'éditeur)
• Délai de réponse cible : 30 jours (RGPD art. 12.3)