Politique de confidentialité — InnerNet
Dernière mise à jour : 8 juin 2026
Chez InnerNet, on tient à la confiance. Cette politique explique en termes clairs quelles données on collecte, pourquoi on les collecte, avec qui on les partage, et comment vous gardez la main.
Elle s'applique à tous les utilisateurs de l'application mobile InnerNet, et elle est rédigée conformément au Règlement Général sur la Protection des Données (RGPD) et à la Loi Informatique et Libertés.
1. Qui est le responsable du traitement ?
Le responsable du traitement des données collectées via l'application InnerNet est :
François Bv — éditeur de l'application InnerNet Contact : contact@innernet.work
Pour toute question relative à vos données personnelles ou à l'exercice de vos droits, vous pouvez nous écrire à cette adresse. Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande.
2. Quelles données collectons-nous ?
Nous collectons uniquement les données nécessaires au bon fonctionnement de l'application. Voici la liste exhaustive :
2.1 — Données fournies directement par vous
- Lors de l'inscription : adresse email, mot de passe (stocké chiffré et jamais en clair).
- Profil personnel : prénom, nom, ville, pays, biographie, photo de profil, téléphone (facultatif), date de naissance (facultative).
- Profil d'Intervenant : nom d'affichage, accroche, biographie professionnelle, expertises, langues parlées, tarif journalier.
- Fiches de Retraite que vous créez : titre, description, dates, lieu, prix, capacité, photo, thèmes.
- Fiches de lieux que vous proposez : nom, description, adresse, capacité, équipements, photos, prix indicatif.
- Candidatures et inscriptions : votre identifiant lié à la Retraite ou au profil d'Intervenant concerné, vos notes éventuelles.
- Échanges : messages échangés via la messagerie intégrée (à venir).
2.2 — Données collectées automatiquement
- Données techniques : type d'appareil, système d'exploitation, version de l'application, langue.
- Données de connexion : adresse IP au moment de l'authentification, horodatage des connexions (à des fins de sécurité uniquement, conservé brièvement par Supabase).
- Géolocalisation : si vous l'autorisez (et seulement dans ce cas), nous utilisons votre position pour vous montrer les retraites proches. La position n'est pas stockée côté serveur, sauf si vous la renseignez vous-même comme « lieu de résidence » dans votre profil.
2.3 — Données liées aux paiements
Les données bancaires (numéro de carte, CVC, date d'expiration) ne transitent pas par les serveurs d'InnerNet. Elles sont collectées et traitées directement par notre prestataire de paiement Stripe, certifié PCI-DSS niveau 1. Nous recevons uniquement un identifiant de transaction (payment_intent_id) et le statut du paiement (réussi, échoué, en attente).
3. Pourquoi collectons-nous ces données ?
Chaque collecte de donnée correspond à une finalité précise :
| Finalité | Données concernées | Base légale |
|---|---|---|
| Création et gestion de votre compte | Email, mot de passe, profil | Exécution du contrat (CGU) |
| Permettre la marketplace (découverte, création, réservation) | Profil, retraites, lieux, candidatures | Exécution du contrat |
| Traitement des paiements | Identifiant de transaction, montant, statut | Exécution du contrat |
| Communication transactionnelle (confirmation de réservation, candidature, etc.) | Exécution du contrat | |
| Notifications push (réponses, rappels) | Token push (à venir avec OneSignal) | Consentement |
| Sécurité du service (anti-fraude, anti-spam) | Données de connexion | Intérêt légitime |
| Amélioration de l'application | Données techniques agrégées et anonymisées | Intérêt légitime |
| Réponse à vos demandes (support, droits RGPD) | Email + contenu de votre demande | Obligation légale et intérêt légitime |
4. Bases légales du traitement
Conformément à l'article 6 du RGPD, les traitements que nous effectuons reposent sur :
- L'exécution du contrat que vous concluez avec InnerNet en acceptant les CGU (traitement nécessaire à la fourniture des services) ;
- Votre consentement explicite (par exemple pour les notifications push, le marketing, ou la géolocalisation lorsqu'elle est demandée par votre système) ;
- Notre intérêt légitime à assurer la sécurité, prévenir la fraude et améliorer l'application ;
- Le respect d'une obligation légale (conservation des justificatifs comptables, réponses aux demandes des autorités).
Vous pouvez retirer votre consentement à tout moment pour les traitements qui en dépendent (notamment les notifications), sans que cela remette en cause la légalité des traitements antérieurs.
5. Durée de conservation
Nous appliquons des durées de conservation adaptées à chaque finalité :
| Donnée | Durée |
|---|---|
| Compte utilisateur (profil, identifiants) | Tant que le compte est actif, puis effacement définitif sous 30 jours après suppression |
| Retraites, candidatures, inscriptions | Tant que le compte est actif ; ensuite anonymisation des références |
| Données de paiement (identifiants de transaction) | 10 ans pour les obligations comptables |
| Logs techniques de connexion | 12 mois maximum |
| Demandes de support et exercice des droits | 3 ans après la dernière interaction |
| Données anonymisées (statistiques) | Indéfiniment, sans rattachement possible à une personne |
À l'expiration de ces délais, les données sont effacées définitivement de nos systèmes et de ceux de nos sous-traitants.
6. Avec qui partageons-nous vos données ?
Vos données ne sont jamais vendues à des tiers, ni cédées à des fins de prospection commerciale. Elles sont transmises uniquement aux prestataires techniques strictement nécessaires au fonctionnement de l'application :
6.1 — Sous-traitants techniques
- Supabase (hébergement, base de données, authentification) — région UE Ouest (Irlande). Données stockées dans l'Union européenne. Conformité RGPD documentée.
- Stripe (paiements) — siège social aux États-Unis, avec entité européenne (Stripe Payments Europe Ltd., Irlande). Voir section 9.
- Resend (envoi d'emails transactionnels) — service utilisé pour les confirmations de réservation, candidatures, etc.
- Sentry (surveillance des crashs et erreurs techniques) — collecte de stack traces sans données utilisateur identifiantes. Transfert hors UE (États-Unis) couvert par les Clauses Contractuelles Types (CCT) de la Commission européenne. Voir section 9.
- PostHog (analytique produit) — comprendre comment l'application est utilisée afin de l'améliorer. Collecte d'events anonymisés (pas d'adresse IP enregistrée, identifiants utilisateurs pseudonymisés). Transfert hors UE couvert par les Clauses Contractuelles Types. Voir section 9.
- OneSignal (notifications push, à venir) — pour les rappels et alertes dans l'application.
- Expo / Apple / Google (distribution de l'application) — diffusion via l'App Store et le Google Play Store, qui appliquent leurs propres politiques de confidentialité.
Chaque sous-traitant est lié par un contrat conforme à l'article 28 du RGPD et n'utilise vos données que pour les finalités strictement nécessaires à la fourniture de son service.
6.2 — Autres Utilisateurs
Certaines de vos informations sont visibles publiquement dans l'application par les autres Utilisateurs : votre prénom et photo de profil, vos profils d'Intervenant marqués comme « visibles », vos fiches de Retraite publiées, vos fiches de lieu marquées comme « disponibles ». Vous gardez le contrôle de ces visibilités depuis votre profil.
6.3 — Autorités
Vos données peuvent être transmises aux autorités compétentes (justice, administration fiscale, etc.) en réponse à une demande officielle conforme à la loi.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir une copie de toutes les données que nous détenons sur vous.
- Droit de rectification : corriger des données inexactes ou les compléter. La plupart des données peuvent être modifiées directement depuis l'application.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données. Vous pouvez supprimer votre compte directement depuis l'application (Paramètres → Supprimer mon compte).
- Droit à la limitation du traitement : demander que nous suspendions un traitement, par exemple le temps d'examiner une contestation.
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine (JSON), ou demander leur transfert direct à un autre service quand c'est techniquement possible. Un export complet de vos données est disponible sur simple demande à contact@innernet.work (à terme automatisé directement dans l'application).
- Droit d'opposition : refuser un traitement fondé sur notre intérêt légitime.
- Droit de retirer votre consentement à tout moment, pour les traitements qui en dépendent.
- Droit de définir des directives relatives au sort de vos données après votre décès.
- Droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.
8. Comment exercer vos droits ?
Pour exercer vos droits, deux possibilités :
- Depuis l'application : la plupart des actions sont directement accessibles (modifier votre profil, supprimer votre compte, vous déconnecter).
- Par email : écrivez à contact@innernet.work en précisant le droit que vous souhaitez exercer. Une pièce d'identité peut vous être demandée pour vérifier votre identité, conformément au RGPD.
Nous répondons sous un mois maximum (prolongeable de deux mois si la demande est complexe ou nombreuse, avec notification motivée).
9. Transferts internationaux de données
Stripe est une société américaine. Lorsque vous effectuez un paiement, certaines données techniques transitent vers ses serveurs aux États-Unis.
Ce transfert est encadré par les Clauses Contractuelles Types (SCC) de la Commission européenne, garantissant un niveau de protection adéquat conformément aux articles 46 et suivants du RGPD. Stripe applique également des mesures de sécurité techniques et organisationnelles renforcées (chiffrement, contrôles d'accès, audits réguliers).
Il en va de même pour Sentry (surveillance des crashs) et PostHog (analytique produit), sociétés américaines : les stack traces anonymisées et les events de navigation pseudonymisés qui leur sont transmis sont eux aussi couverts par les Clauses Contractuelles Types. Ces données ne contiennent pas d'informations directement identifiantes.
Vous pouvez consulter la politique de confidentialité de Stripe : stripe.com/fr/privacy.
L'ensemble des autres données (profils, retraites, candidatures, messages) reste hébergée sur les serveurs Supabase situés en Irlande, au sein de l'Union européenne.
10. Cookies et traceurs
L'application mobile InnerNet n'utilise pas de cookies tiers au sens strict (la notion s'applique surtout aux sites web). Néanmoins, certaines technologies équivalentes sont utilisées :
- Stockage local sécurisé : votre session de connexion est conservée localement sur votre appareil (AsyncStorage) afin de vous éviter de vous reconnecter à chaque ouverture.
- Préférences d'affichage : votre choix de thème (clair / sombre / auto), votre passage de l'onboarding, etc. sont stockés localement et ne quittent pas votre appareil.
- Token de notifications push : si vous l'acceptez, un identifiant technique est généré pour permettre l'envoi de notifications.
Aucune publicité personnalisée, aucun pixel de tracking tiers, aucune intégration de plateformes publicitaires (Google, Meta, etc.) n'est présent dans l'application.
Le site vitrine innernet.work n'utilise aujourd'hui aucun cookie analytique ni traceur publicitaire. Si cela venait à changer (ajout d'une mesure d'audience, par exemple), cette section serait mise à jour et un bandeau de consentement serait affiché le cas échéant.
11. Sécurité de vos données
Nous mettons en place des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement : tous les échanges entre l'application et nos serveurs passent par HTTPS / TLS 1.3.
- Mots de passe : stockés hachés (jamais en clair) via les standards de l'industrie (Supabase Auth).
- Cloisonnement : Row Level Security (RLS) PostgreSQL — chaque utilisateur n'accède qu'à ses propres données.
- Hébergement européen : Supabase EU West (Irlande), conforme RGPD.
- Mises à jour de sécurité : nous appliquons régulièrement les mises à jour de nos dépendances et frameworks.
- Sauvegardes : les données sont sauvegardées quotidiennement.
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans un délai de 72 heures, et à vous en informer dans les meilleurs délais.
12. Mineurs
L'application InnerNet est strictement réservée aux personnes majeures (18 ans et plus). Nous ne collectons pas sciemment de données concernant des mineurs. Si vous pensez qu'un mineur s'est inscrit sur l'application, contactez-nous à contact@innernet.work afin que nous puissions supprimer son compte.
13. Modifications de la politique
Cette politique peut évoluer pour refléter des changements légaux, techniques ou organisationnels. Toute modification substantielle sera notifiée dans l'application et entrera en vigueur après un délai raisonnable permettant aux Utilisateurs d'en prendre connaissance.
La version applicable est toujours celle disponible dans l'application au moment de votre utilisation.
14. Contact
Pour toute question, demande ou exercice de vos droits :
Email : contact@innernet.work Délai de réponse : un mois (RGPD)
Nous lisons chaque message avec attention.
InnerNet — édité par François Bv. Document à valeur indicative en attendant validation juridique définitive.