Politique de Confidentialité de l'App
Statut : Mars 2026
Avis Important – Traduction
Ce texte est une traduction automatique fournie pour ta commodité. Il n’a pas de valeur juridique contraignante.
Les versions juridiquement contraignantes de cette politique de confidentialité sont disponibles en :
Allemand – pour les utilisateurs dont la langue de l’application est l’allemand : alma-app.eu/datenschutz
Anglais – pour tous les autres utilisateurs : alma-app.eu/privacy
Si des éléments de cette traduction diffèrent de la version allemande ou anglaise, c’est la version contraignante applicable qui prévaut. Si tu n’es pas sûr de la version qui s’applique à toi, c’est la version anglaise qui fait foi.
L’essentiel en un coup d’œil
Qui je suis : Bastian Matzen / Alma Softwareentwicklung (Entreprise individuelle), Kienitzer Str. 113, 12049 Berlin, Allemagne. Contact : privacy@alma-app.eu | www.alma-app.eu
Tes données avec moi :
✅ Sécurisées : Stockage crypté exclusivement au sein de l’UE (Francfort-sur-le-Main).
✅ Privées : Aucun transfert de données à des tiers (sauf à tes contacts d’urgence en cas d’urgence).
✅ Volontaires : Les données de santé et de nombreux autres détails sont totalement facultatifs.
✅ Contrôlées : Tu peux tout consulter, modifier ou supprimer à tout moment.
✅ Transparentes : Pas d’utilisation cachée des données, pas de vente de tes données.
Tes droits : Accès, rectification, suppression, portabilité des données, opposition, retrait du consentement – tout est possible à tout moment.
Les plaintes peuvent être déposées auprès du : Commissaire de Berlin à la protection des données et à la liberté d’information (datenschutz-berlin.de). Les utilisateurs de l’EEE peuvent également contacter l’autorité de contrôle de leur pays de résidence habituelle. Les utilisateurs au Royaume-Uni peuvent contacter l’Information Commissioner’s Office (ico.org.uk). Les utilisateurs en Suisse peuvent contacter le Préposé fédéral à la protection des données et à la transparence (PFPDT).
1. Responsable du traitement et contact
Je suis le responsable du traitement des données dans le cadre de l’application Alma, au sens du Règlement Général sur la Protection des Données (RGPD), du Règlement Général sur la Protection des Données du Royaume-Uni (UK GDPR), de la Loi fédérale suisse sur la protection des données (LPD) et des autres lois applicables sur la protection des données :
Bastian Matzen Alma Softwareentwicklung (Entreprise individuelle) Kienitzer Str. 113 12049 Berlin Allemagne
Options de contact pour les questions de confidentialité (préféré) : privacy@alma-app.eu
Pour le support technique : support@alma-app.eu
Site web : www.alma-app.eu
1a. Représentant au Royaume-Uni
Conformément à l’article 27 de l’UK GDPR, nous avons nommé le représentant suivant au Royaume-Uni pour les questions de protection des données :
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ Londres Royaume-Uni
E-mail : privacy@alma-app.eu
2. Aperçu de l’application et de ses fonctions
Alma est une application de sécurité personnelle et de communication avec deux fonctions principales :
2.1 Alma Safety Net (uniquement avec l’abonnement Connect+)
Check-ins de sécurité automatiques à des créneaux horaires définis.
Notification automatique de tes contacts d’urgence si un check-in est manqué.
Transmission facultative de la localisation et des informations de santé en cas d’urgence.
2.2 Alma Moments (Gratuit)
Réseau social pour partager des moments avec jusqu’à 30 connexions.
Publication automatique dans le flux social si un check-in est manqué (si activé).
Confirmation mutuelle d’amitié requise.
2.3 Âge minimum
L’utilisation de l’application Alma est autorisée pour les personnes âgées de 16 ans et plus. Les personnes de moins de 16 ans ne peuvent pas utiliser l’application. En t’inscrivant, tu confirmes que tu as au moins 16 ans.
3. Quelles données sont traitées ?
3.1 Données obligatoires lors de l’inscription
Pour utiliser l’application, j’ai besoin des données suivantes (Base juridique : Art. 6(1)(b) RGPD – Exécution d’un contrat) :
Adresse e-mail – pour la création du compte, la communication et la réinitialisation du mot de passe.
Mot de passe – stocké sous forme cryptée et utilisé pour la sécurité du compte.
Prénom – pour la personnalisation et l’affichage à tes contacts.
Nom de famille – pour l’identification complète.
3.2 Données de profil facultatives
Tu peux fournir volontairement les données suivantes (Base juridique : Art. 6(1)(a) RGPD – Consentement) :
Photo de profil – pour la personnalisation et les fonctions sociales.
Date de naissance – pour la vérification de l’âge.
Numéro de téléphone – comme méthode de contact alternative.
Adresse – pour les informations d’urgence.
Bio – pour les fonctions sociales.
Ville – pour les fonctions sociales et la recherche.
3.3 Données de santé (Connect+ uniquement, totalement facultatif)
Ces catégories particulières de données au sens de l’Art. 9 RGPD ne sont traitées qu’avec ton consentement explicite.
Données collectées : Groupe sanguin, allergies, médicaments, conditions médicales, animaux de compagnie, infos sur les clés de maison, autres informations d’urgence.
Base juridique : Art. 9(2)(a) RGPD (Consentement explicite).
Sécurité : Ces données sont stockées à l’aide d’un cryptage AES-256 et ne sont transmises qu’à tes contacts d’urgence confirmés en cas d’urgence.
3.4 Données de localisation (facultatif)
Le suivi de la localisation est totalement facultatif et peut être utilisé selon trois modes (Base juridique : Art. 6(1)(a) RGPD – Consentement) :
Enregistrer lors du Check-In – La localisation n’est capturée manuellement que lors du check-in.
Toujours envoyer – La localisation est mise à jour en arrière-plan. Techniquement, seule la dernière position connue est enregistrée ; la précédente est écrasée.
Désactivé – Aucune localisation n’est capturée ou partagée.
Note : Les données de localisation sont automatiquement supprimées après 30 jours d’inactivité.
3.5 Données de Check-In
Lors des check-ins, les données suivantes sont capturées :
Heure du check-in – pour le suivi de la sécurité (Conservation : 90 jours pour Connect+).
Informations sur l’appareil – pour l’analyse des erreurs (Conservation : 90 jours).
Dernière localisation connue – pour les notifications d’urgence (Conservation : max. 30 jours, écrasée).
3.6 Données sociales (Alma Moments)
Lors de l’utilisation des fonctions sociales, les données suivantes sont traitées : publications (texte, images, vidéos), commentaires, likes, connexions et emojis d’humeur.
Base juridique : Art. 6(1)(b) RGPD (Exécution d’un contrat pour fournir des fonctions sociales) et Art. 6(1)(a) RGPD (pour le contenu volontaire).
3.7 Données techniques
Les données techniques suivantes sont traitées pour le fonctionnement de l’application :
Type d’appareil et OS – pour l’optimisation de l’application et l’analyse des erreurs (Base juridique : Art. 6(1)(f) RGPD).
Version de l’application – pour le support et les mises à jour (Base juridique : Art. 6(1)(f) RGPD).
Jeton FCM – pour les notifications push (Base juridique : Art. 6(1)(b) RGPD).
Fuseau horaire – pour des heures de check-in correctes (Base juridique : Art. 6(1)(b) RGPD).
Fichiers journaux du serveur – pour la sécurité de l’infrastructure et la défense contre les attaques (Base juridique : Art. 6(1)(f) RGPD).
3.8 Communication marketing (facultatif)
Seulement si tu as consenti lors de l’inscription ou plus tard dans les paramètres en cochant la case, je traiterai ton adresse e-mail et ton nom pour t’envoyer des conseils, des nouvelles de l’application et des mises à jour (Newsletter).
Base juridique : Art. 6(1)(a) RGPD (Consentement).
Désinscription : Tu peux te désinscrire à tout moment via le lien de désinscription présent dans chaque e-mail ou dans les paramètres de notification de l’application. Le retrait du consentement n’affecte pas la licéité du traitement fondé sur le consentement effectué avant son retrait.
4. Finalités du traitement des données
Je traite tes données pour les finalités suivantes :
Exécution du contrat (Art. 6(1)(b) RGPD) : Fourniture de l’application, check-ins, alertes, gestion des abonnements.
Consentement (Art. 6(1)(a) RGPD) : Données de santé, partage de localisation, infos de profil facultatives, marketing.
Intérêts légitimes (Art. 6(1)(f) RGPD) : Prévention de la fraude, sécurité technique, dépannage.
Obligations légales (Art. 6(1)(c) RGPD) : Obligations de conservation, demandes des autorités.
Note sur la prise de décision automatisée : Aucune prise de décision automatisée ou profilage au sens de l’Art. 22 RGPD produisant des effets juridiques te concernant n’a lieu. Le déclenchement des alarmes repose exclusivement sur les créneaux horaires et les règles (logique “Si-Alors”) que tu as définis personnellement.
5. Destinataires des données et sous-traitants
5.1 Prestataires de services
Je travaille avec les prestataires de services suivants pour faire fonctionner l’application :
Google Firebase (Google Ireland Ltd.) – pour l’hébergement, la base de données et l’authentification. Lieu : Francfort-sur-le-Main (europe-west3). Garantie de protection des données : Cadre de protection des données UE-États-Unis (DPF), Google Cloud DPA.
RevenueCat – pour la gestion des abonnements (données traitées : statut de l’abonnement, heure d’achat, ID utilisateur d’application pseudonyme, métadonnées de transaction). Lieu : USA (AWS). Garantie de protection des données : Clauses contractuelles types de l’UE (SCC), DPA. Pour les transferts depuis le Royaume-Uni : UK International Data Transfer Agreement (IDTA) ou UK Addendum aux SCC de l’UE. Pour les transferts depuis la Suisse : respect des exigences de la LPD.
Mailgun (Sinch) – pour l’envoi d’e-mails. Lieu : UE. Garantie de protection des données : DPA, conforme au RGPD.
Algolia – pour la recherche d’utilisateurs. Lieu : UE. Garantie de protection des données : DPA, conforme au RGPD.
5.2 Transfert de données conditionnel (Canaux de notification)
Le transfert vers ces services n’a lieu que si ton contact d’urgence choisit explicitement ces canaux :
Meta (WhatsApp Cloud API) – seulement si WhatsApp est sélectionné par le contact. Meta est certifié sous le cadre de protection des données UE-États-Unis. Pour les transferts depuis le Royaume-Uni, l’extension britannique au DPF UE-États-Unis s’applique en complément.
Telegram – L’utilisation de Telegram n’a lieu que si ton contact d’urgence sélectionne activement ce canal lui-même. Dans ce cas, ton contact consent directement au traitement des données par Telegram (potentiellement sur des serveurs hors UE).
5.3 Pas de transfert de données à des tiers
Tes données ne sont pas vendues.
Pas de transfert à des fins publicitaires pour des tiers.
Pas de transfert à des courtiers de données.
Exception : Tes contacts d’urgence reçoivent les informations que tu as autorisées en cas d’urgence.
6. Stockage et suppression des données
6.1 Lieu de stockage
Toutes les données sont principalement stockées dans l’Union européenne (Francfort-sur-le-Main, région Google Cloud europe-west3).
6.2 Durée de conservation et suppression automatique
Historique des Check-In : Supprimé automatiquement après 90 jours.
Données de localisation : Supprimées automatiquement après 30 jours d’inactivité (ou écrasées en continu).
Fichiers journaux du serveur : Supprimés automatiquement après 90 jours (pour l’analyse d’erreurs/défense contre les attaques).
Liens d’invitation : Supprimés automatiquement après 7 jours.
Données de santé : Suppression après 12 mois d’inactivité.
Données du compte : Suppression après 24 mois d’inactivité.
Rappels avant suppression pour inactivité :
Après 12 mois sans connexion : Suppression automatique des données de santé ; e-mail de rappel envoyé.
Après 13 mois sans réponse : Nouveau rappel.
Après 23 mois d’inactivité : Dernier e-mail d’avertissement.
Après 24 mois sans réponse : Suppression complète du compte.
Exception pour les abonnements actifs : Tant qu’un abonnement Connect+ payant est actif, aucune suppression automatique pour inactivité n’a lieu.
Données de facturation : Les données de facturation (nom, adresse, informations de transaction) sont conservées pendant 10 ans conformément aux obligations de conservation fiscale (§ 147 AO). Ces données sont conservées séparément des données d’utilisation.
Les comptes supprimés sont retirés de manière permanente et irrévocable après un délai de grâce de 30 jours.
Important : En cas de demande de suppression de compte, l’utilisation prend fin immédiatement. À partir de ce moment, plus aucun rappel de check-in, alarme ou autre notification ne sera déclenché – ni pour toi, ni pour tes contacts d’urgence. De plus, ton profil dans Alma Moments ne sera plus visible. La suppression physique finale de toutes les données intervient après le délai de grâce de 30 jours.
7. Sécurité des données
J’emploie des normes de sécurité modernes :
Cryptage : TLS 1.2+ pour la transmission des données (Transit) et stockage sur des serveurs cryptés en AES-256 (At Rest) pour les données sensibles.
Contrôle d’accès : Règles de sécurité Firebase, authentification stricte.
Sécurité de l’application : Firebase App Check, protection biométrique facultative (Connect+), verrouillage séparé des paramètres.
8. Tes droits
Tu as les droits suivants à tout moment (conformément aux Art. 15-21 RGPD) :
Accès et export de données : Dans l’application sous Paramètres → Confidentialité.
Rectification : Tu peux modifier toi-même toutes les données de profil et de santé dans l’application.
Effacement : Tu peux supprimer des données individuelles ou ton compte entier directement dans l’application.
Limitation du traitement (Art. 18 RGPD) : Tu peux demander la limitation du traitement, par exemple si tu contestes l’exactitude de tes données ou si le traitement est illicite.
Retrait du consentement : Tu peux retirer ton consentement (ex: localisation, données de santé, marketing) à tout moment dans les paramètres. Le retrait n’affecte pas la licéité du traitement effectué avant celui-ci.
Droit d’opposition (Art. 21 RGPD) : Si le traitement des données est fondé sur des intérêts légitimes (Art. 6(1)(f) RGPD), tu as le droit de t’y opposer à tout moment pour des raisons tenant à ta situation particulière.
Droit d’introduire une réclamation : Tu peux contacter l’autorité de contrôle compétente en matière de protection des données. Pour les utilisateurs en Allemagne, il s’agit du Commissaire de Berlin à la protection des données et à la liberté d’information (datenschutz-berlin.de). Les utilisateurs de l’Espace Économique Européen (EEE) peuvent contacter l’autorité de contrôle de leur pays de résidence habituelle, de leur lieu de travail ou du lieu de la violation présumée. Une liste des autorités de contrôle est disponible sur edpb.europa.eu. Les utilisateurs au Royaume-Uni peuvent contacter l’Information Commissioner’s Office (ICO) : ico.org.uk. Les utilisateurs en Suisse peuvent contacter le Préposé fédéral à la protection des données et à la transparence (PFPDT) : edoeb.admin.ch.
9. Situations particulières de traitement
9.1 Notification d’urgence (Connect+ uniquement)
En cas de check-in manqué, tes contacts d’urgence seront informés. Seules les données que tu as enregistrées dans ton profil et dont tu as autorisé la diffusion (ex: localisation, infos de santé) seront transmises. Base juridique :
Art. 6(1)(b) RGPD (Exécution d’un contrat)
Art. 9(2)(a) RGPD (Consentement explicite pour les données de santé)
Complémentairement Art. 9(2)(c) RGPD (Sauvegarde des intérêts vitaux), pour assurer l’intégrité physique en cas d’urgence.
9.2 Inviter des contacts d’urgence
Pour protéger la vie privée des tiers, tu ne saisis pas directement les coordonnées d’autres personnes dans l’application.
Création du lien : Tu génères un lien d’invitation personnel dans l’application.
Envoi : Tu envoies ce lien à ta personne de confiance via le canal de ton choix (ex: WhatsApp, e-mail).
Inscription : Ta personne de confiance ouvre le lien et saisit elle-même ses coordonnées et le canal de notification souhaité. Tant que le lien n’est pas utilisé, aucune donnée de tes contacts n’est stockée. Les liens non utilisés expirent après 7 jours.
9.3 Toi en tant que contact d’urgence
Si tu acceptes une invitation, tu consens à ce que les coordonnées fournies (nom, e-mail/téléphone/identifiant) soient stockées à des fins de notification d’urgence. Tu peux te désinscrire à tout moment via un lien de désinscription dans les messages.
9.4 Configuration à distance (Connect+)
Tu peux accorder temporairement l’accès à une personne de confiance (via un code généré) pour configurer l’application pour toi et gérer les paramètres. Une fois la connexion établie, cet accès reste actif jusqu’à ce que tu le révoques dans l’application. Pour ta sécurité, toutes les modifications effectuées par la personne de confiance sont enregistrées (journal d’audit).
Base juridique : Art. 6(1)(b) RGPD (Exécution d’un contrat, fonction initiée par l’utilisateur).
10. Authentification par tiers
Google Sign-In : Les données transmises incluent l’e-mail, le nom et la photo de profil. (Confidentialité : policies.google.com/privacy)
Apple Sign-In : Les données transmises incluent l’e-mail (ou adresse de relais) et le nom. (Confidentialité : apple.com/legal/privacy)
11. Notifications Push
J’utilise les notifications push pour les rappels de check-in, les alarmes et les interactions sociales.
Base juridique : Art. 6(1)(b) RGPD (pour les fonctions contractuelles comme les alarmes) et Art. 6(1)(f) RGPD (pour les avis sociaux).
Contrôle : Tu peux gérer la plupart des types de notifications dans les paramètres de l’application. Les notifications de sécurité critiques font partie du service de base.
12. Analyse et dépannage
12.1 Firebase Analytics
J’utilise Firebase Analytics dans une configuration minimisée pour garantir la stabilité de l’application et corriger les erreurs.
Mesures de confidentialité : Aucun identifiant publicitaire (IDFA/AAID) n’est collecté. L’anonymisation de l’IP est activée.
Finalité : Statistiques anonymisées de plantage et d’utilisation pour l’optimisation technique.
Base juridique : Art. 6(1)(f) RGPD (Intérêt légitime au fonctionnement sans erreur et à la sécurité de l’application).
12.2 Firebase Crashlytics
En cas de plantage de l’application, des détails techniques (trace de la pile, infos sur l’appareil) sont envoyés pour corriger l’erreur. Aucune donnée permettant une identification directe n’est stockée dans le rapport de plantage.
12.3 ePrivacy et communications électroniques
L’accès à certaines fonctions de l’appareil et le stockage d’informations techniques sur l’appareil (ex: jetons FCM) peuvent être soumis aux lois nationales transposant la directive ePrivacy (2002/58/CE). Au Royaume-Uni, les Privacy and Electronic Communications Regulations 2003 (PECR) s’appliquent. En Suisse, les dispositions de la Loi sur les télécommunications (LTC) s’appliquent. Lorsqu’un consentement est requis par la loi applicable, il est obtenu avant l’accès concerné.
13. Modifications de cette politique de confidentialité
Je me réserve le droit de modifier cette politique de confidentialité. En cas de changements significatifs, tu en seras informé via l’application ou par e-mail. La version actuelle est toujours disponible dans l’application et sur le site web.
14. Transferts internationaux de données
Le stockage principal des données a lieu dans l’Union européenne (Francfort-sur-le-Main). Lorsque des données sont transférées à des prestataires de services hors de l’EEE (voir Section 5), je m’appuie sur les garanties suivantes :
Cadre de protection des données UE-États-Unis (DPF) : Pour les transferts vers des entreprises basées aux États-Unis et certifiées sous le DPF (ex: Google, Meta).
Clauses contractuelles types de l’UE (SCC) : Pour les transferts vers des entreprises non certifiées sous le DPF (ex: RevenueCat).
Pour les transferts depuis le Royaume-Uni : J’utilise le UK International Data Transfer Agreement (IDTA) ou le UK Addendum aux SCC de l’UE, ainsi que l’extension britannique au DPF UE-États-Unis, le cas échéant.
Pour les transferts impliquant la Suisse : Je respecte les exigences de la Loi fédérale suisse sur la protection des données (LPD), y compris la reconnaissance des décisions d’adéquation du Conseil fédéral et l’utilisation de clauses contractuelles types si nécessaire.
Pour plus de détails sur les prestataires de services individuels, voir la Section 5.
15. Utilisateurs hors UE/EEE, Royaume-Uni et Suisse
Pour les utilisateurs situés dans des pays non couverts par le RGPD, l’UK GDPR ou la LPD suisse, le Prestataire applique les mêmes mesures techniques et organisationnelles que pour les utilisateurs relevant du RGPD. Les dispositions impératives de protection des données du pays de résidence habituelle de l’utilisateur ne sont pas affectées.
16. Contact
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlin
E-mail : privacy@alma-app.eu
Site web : www.alma-app.eu