TriMates, accessible à l'adresse trimates.fr, est responsable du traitement des données personnelles collectées via la Plateforme.
2. Données collectées
Données d'inscription
Pseudo, prénom, nom
Adresse email
Date de naissance (utilisée uniquement pour vérifier la majorité)
Genre (optionnel)
Photo de profil (optionnelle)
Données de profil sportif
Sports favoris et sous-types
Niveaux de performance
Zone géographique de sorties (coordonnées GPS du centre de zone)
Disponibilités hebdomadaires
Données d'utilisation
Sorties créées et rejointes (lieu, date, participants)
Messages envoyés dans le chat des sorties et des groupes
Fichiers GPX téléchargés (traces de parcours sportifs)
Abonnements entre utilisateurs (follows)
Appartenance aux groupes d'entraînement
Données techniques
Données de géolocalisation du navigateur (uniquement si autorisé explicitement)
Données de connexion (adresse IP, navigateur)
3. Données de localisation
TriMates traite des données de localisation qui permettent de savoir où et quand vous pratiquez du sport. Ces données sont considérées comme sensibles et font l'objet de mesures de protection renforcées :
Zone de sorties : coordonnées GPS du centre de votre zone de recherche, non visible par les autres utilisateurs
Points de départ : coordonnées GPS des lieux de départ des sorties que vous créez, visibles sur la carte par les utilisateurs connectés
Fichiers GPX : traces GPS de parcours sportifs, stockées de manière sécurisée et accessibles uniquement aux utilisateurs connectés
Géocodage : lorsque vous recherchez une adresse ou cliquez sur la carte, les coordonnées sont envoyées au service Nominatim (OpenStreetMap) pour obtenir le nom du lieu. Nominatim ne stocke pas ces requêtes à des fins de suivi
Vous pouvez bloquer un utilisateur pour l'empêcher de voir vos sorties, votre profil et vos activités.
4. Finalités du traitement
Fonctionnement du service : gestion du compte, affichage des sorties, mise en relation entre sportifs
Smart Notifications : envoi d'emails lorsqu'une sortie correspond à votre profil (sport, niveau, zone, disponibilités). Ce traitement automatisé est désactivable dans les préférences email
Sécurité : vérification de l'âge minimum (18 ans) côté client et serveur, blocage entre utilisateurs
Amélioration du service : statistiques anonymisées
5. Base légale
Consentement : acceptation des CGU et de la politique de confidentialité à l'inscription (tracé avec horodatage et version)
Exécution du contrat : fourniture du service de mise en relation sportive
Intérêt légitime : sécurité, prévention des abus, modération
6. Partage des données
Vos données personnelles ne sont jamais vendues. Elles peuvent être partagées avec :
Les autres utilisateurs : pseudo, photo, niveau, sports (profil public et sorties). Vous pouvez bloquer un utilisateur pour masquer ces informations
Nos sous-traitants techniques :
Supabase (base de données, authentification, stockage de fichiers) — hébergé sur AWS EU (Irlande)
Vercel (hébergement de l'application) — fonctions serverless exécutées à Paris (CDG), réseau Edge global
Brevo (envoi d'emails de notification) — entreprise française, données hébergées en UE — reçoit votre email et le contenu des notifications
Sentry (suivi des erreurs techniques, optionnel) — région UE (Frankfurt) — collecte uniquement avec votre consentement explicite via le banner cookies
Vercel Speed Insights / Analytics (mesure de performance, optionnel) — collecte uniquement avec votre consentement explicite via le banner cookies
Nominatim / OpenStreetMap (géocodage) — reçoit les coordonnées GPS pour convertir en adresses lisibles
Google (authentification OAuth, optionnel) — fournit nom et photo si connexion via Google
Strava (import d'activités, optionnel) — uniquement si vous connectez votre compte Strava
Le prénom, nom, email, date de naissance et genre ne sont jamais visibles par les autres utilisateurs.
7. Durée de conservation
Conformément à l'article 5(1)(e) du RGPD (limitation de la conservation), nous appliquons les durées suivantes :
Données de compte (profil, sports, niveaux, zone) : conservées tant que le compte est actif
Comptes inactifs : un email de préavis est envoyé après 22 mois sans connexion. Sans réaction de votre part, le processus de suppression est enclenché à 24 mois d'inactivité (avec encore 30 jours de délai pour annuler en vous reconnectant)
Suppression à votre initiative : votre compte entre en période de suspension de 30 jours (vous restez masqué aux autres utilisateurs et ne recevez plus de notifications, mais vous pouvez annuler à tout moment). Passé ce délai, suppression définitive et irréversible
Sorties créées : supprimées à la suppression définitive du compte
Messages de chat : conservés tant que la sortie ou le groupe existe
Fichiers GPX : supprimés avec la sortie associée ou à la suppression définitive du compte
Logs de connexion : 12 mois maximum
Logs d'erreurs (Sentry, si consentement) : 90 jours
8. Vos droits (RGPD)
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants, exerçables directement depuis votre profil ou par email à contact@trimates.fr. Délai de réponse : 1 mois maximum (Article 12).
Accès et portabilité (Art. 15 et 20) : exportez toutes vos données au format JSON depuis votre profil (onglet Réglages → bouton "Exporter mes données"). Format ouvert et structuré, réutilisable
Rectification (Art. 16) : modifiez librement vos données via les onglets Profil et Sports
Effacement (Art. 17) : supprimez votre compte depuis l'onglet Réglages → "Supprimer mon compte". Période de réflexion de 30 jours avant suppression définitive, pendant laquelle votre profil est immédiatement masqué aux autres et les notifications coupées. Vous pouvez annuler à tout moment via la bannière qui apparaît en haut de l'app
Opposition (Art. 21) : désactivez les notifications email depuis l'onglet Réglages, bloquez un utilisateur depuis son profil, masquez vos participations
Limitation du traitement (Art. 18) : mettez votre compte en pause via les toggles de visibilité (masquer participations, exiger approbation des suivis)
Retrait du consentement : à tout moment, sans justification, sans conséquence sur la licéité du traitement antérieur
9. Sécurité
Chiffrement des données en transit (HTTPS/TLS)
Authentification sécurisée via Supabase Auth (mots de passe hashés bcrypt)
Contrôle d'accès par Row Level Security (RLS) sur toutes les tables
Fichiers GPX stockés en accès privé, servis via un endpoint authentifié
Vérification d'âge côté serveur (trigger base de données)
Système de blocage entre utilisateurs
Hébergement certifié (Vercel SOC 2, Supabase SOC 2 Type II)
10. Cookies et traceurs
TriMates utilise deux catégories de traceurs, distinctes selon leur finalité :
Cookies essentiels (toujours actifs) : nécessaires au fonctionnement de la plateforme — authentification, session, préférences UI (filtres carte, géolocalisation in-app). Aucun consentement requis (intérêt légitime, exemption CNIL)
Mesure d'audience et performance (consentement requis) : Vercel Speed Insights (temps de chargement) et Sentry (suivi des erreurs techniques). Données anonymisées, hébergées en UE, jamais utilisées à des fins publicitaires. Désactivés tant que vous n'avez pas donné votre accord explicite via le banner
Aucun cookie publicitaire, aucun cookie de profilage commercial, aucune revente de données.
Vous pouvez modifier votre choix à tout moment :
État actuel de votre consentement
Mesure d'audience et performance : refusée
11. Transferts hors UE
La majorité de vos données sont traitées en Union Européenne : Supabase (Irlande), Vercel serverless functions (Paris), Brevo (France), Sentry (Frankfurt). Google (authentification OAuth, optionnel) et Strava (import d'activités, optionnel) peuvent traiter des données hors UE, dans le cadre de clauses contractuelles types approuvées par la Commission Européenne. Vercel, en tant qu'entreprise américaine, reste soumis au Cloud Act malgré l'hébergement européen des fonctions serverless — risque mitigé par le chiffrement TLS et l'absence de données sensibles dans les fonctions edge.
12. Analyse d'impact (DPIA)
Conformément à l'article 35 du RGPD, une analyse d'impact relative à la protection des données a été réalisée en raison du traitement de données de localisation. Cette analyse identifie les risques liés au profilage comportemental et au suivi de localisation, et documente les mesures de protection mises en place.
13. Modification
Cette politique peut être modifiée. Les utilisateurs seront informés de toute modification significative.
14. Contact et réclamation
Pour toute question relative au traitement de vos données ou pour exercer vos droits :
Email : contact@trimates.fr
Délai de réponse : 1 mois maximum (Article 12 RGPD), prolongeable de 2 mois pour les demandes complexes (avec information préalable)
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
