Politique de Confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles est :

2A Digital LLC
Société à responsabilité limitée enregistrée dans l'État du Wyoming, États-Unis
Siège social : 30 N Gould St, Ste R, Sheridan, WY 82801, USA
EIN : 32-0847626 — D-U-N-S : 144551824
Représentant légal : Ayoub Alilou, CEO
Contact : privacy@musmap.com ou 2adevellopment@gmail.com

2. Données collectées et finalités

2.1 Site musmap.com

• Données de navigation (adresse IP anonymisée, pages visitées, durée de session) — Finalité : statistiques d'audience anonymisées via Google Analytics. Base légale : intérêt légitime.
• Cookies analytiques — uniquement après consentement explicite via bandeau cookies. Aucun cookie publicitaire ou de retargeting.
• Données de formulaire de contact (email, message) — Finalité : répondre à vos demandes. Base légale : exécution précontractuelle.
• Géolocalisation par IP (au niveau pays uniquement, via Vercel/Cloudflare) — Finalité : afficher la version localisée du site. Base légale : intérêt légitime. Aucune localisation précise n'est collectée côté site.

2.2 Application H Spot (Consumer)

• Compte utilisateur : adresse email, mot de passe (haché), prénom optionnel — Finalité : authentification. Base légale : exécution du contrat.
• Géolocalisation précise (GPS) : coordonnées GPS de l'appareil, uniquement lorsque l'application est utilisée et après permission explicite — Finalité : afficher les restaurants halal à proximité, calculer les distances et itinéraires. Base légale : consentement. Vous pouvez révoquer cette permission à tout moment dans les paramètres de votre téléphone.
• Favoris et historique de recherche — Finalité : personnaliser votre expérience. Base légale : exécution du contrat.
• Identifiants techniques : identifiant d'installation Firebase, identifiant publicitaire Android (AAID) ou Apple (IDFA, après autorisation iOS ATT) — Finalité : analytics et publicité. Base légale : consentement.
• Notifications push : token Firebase Cloud Messaging — Finalité : vous notifier des nouveautés. Base légale : consentement (vous pouvez désactiver à tout moment).
• Photos : si vous publiez un avis avec photo, la photo est stockée sur Firebase Storage. Aucun accès permanent à votre galerie n'est conservé.

2.3 Application H Spot Manager (Restaurateurs)

• Compte professionnel : email, mot de passe (haché), numéro de téléphone — Finalité : authentification. Base légale : exécution du contrat.
• Vérification du numéro de téléphone par WhatsApp ou SMS : envoi d'un code OTP à 6 chiffres via Meta WhatsApp Business API ou Twilio. Le numéro est uniquement utilisé pour la vérification puis pour la communication transactionnelle relative à votre compte. Base légale : exécution du contrat.
• Données du restaurant : nom, adresse, photos, menu, horaires, certifications halal — Finalité : publication sur le service. Base légale : exécution du contrat.
• Données de paiement : numéro de carte, expiration, CVC — traitées directement par Stripe Inc. et jamais stockées sur nos serveurs. Vous êtes redirigé vers l'environnement sécurisé Stripe (Payment Links) via votre navigateur externe pour effectuer les paiements. Base légale : exécution du contrat.
• Historique d'abonnement : plan choisi (Visibilité+ 59€/mois ou Premium 79€/mois), dates de souscription, statut — Finalité : gestion de votre abonnement. Base légale : exécution du contrat.

3. Destinataires et sous-traitants

Vos données peuvent être transférées aux sous-traitants suivants, dans le strict cadre de leur mission :

• Google / Firebase (USA, Irlande) : hébergement, authentification, base de données Firestore, Cloud Functions, Firebase Analytics, Firebase Cloud Messaging, Firebase Storage.
• Google AdMob (Consumer uniquement) : affichage de publicités contextuelles dans l'application H Spot Consumer. Les annonces peuvent être personnalisées si vous y avez consenti via le bandeau de consentement UMP (User Messaging Platform).
• Stripe Inc. (USA, Irlande) : traitement sécurisé des paiements pour H Spot Manager. Stripe est certifié PCI-DSS Level 1.
• Meta Platforms Inc. / WhatsApp Business API (USA, Irlande) : envoi des codes OTP de vérification pour H Spot Manager.
• Twilio Inc. (USA) : envoi de SMS en repli si WhatsApp n'est pas disponible.
• Vercel Inc. (USA) : hébergement du site musmap.com.
• Google Maps Platform (USA) : affichage des cartes et calcul d'itinéraires.
• Autorités compétentes : uniquement sur réquisition judiciaire valide.

Vos données ne sont jamais vendues, louées ou cédées à des tiers à des fins commerciales.

4. Transferts internationaux de données

2A Digital LLC étant établie aux États-Unis, et utilisant des sous-traitants principalement basés aux États-Unis, vos données personnelles font l'objet de transferts hors Union Européenne. Ces transferts sont encadrés par :

• Les Clauses Contractuelles Types de la Commission Européenne (Décision 2021/914 UE).
• Le Data Privacy Framework (EU-US DPF) pour les sous-traitants certifiés (Google, Stripe, Meta, etc.).
• Des garanties techniques supplémentaires : chiffrement en transit (TLS 1.3) et au repos.

5. Durée de conservation

• Compte utilisateur actif : pendant toute la durée d'utilisation du service.
• Compte inactif depuis plus de 3 ans : suppression automatique après notification.
• Données de paiement (historique de transactions) : 10 ans (obligation comptable).
• Logs techniques : 12 mois maximum.
• Cookies analytiques : 13 mois maximum (recommandation CNIL).
• Suppression de compte sur demande : effacement des données personnelles sous 30 jours, à l'exception des données légalement obligatoires.

6. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la Loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données personnelles.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données personnelles.
• Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
• Droit d'opposition : vous opposer au traitement de vos données pour des motifs légitimes.
• Droit à la limitation : restreindre le traitement de vos données.
• Droit de retirer votre consentement à tout moment, sans affecter la licéité des traitements antérieurs.
• Droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr

Pour exercer ces droits, contactez-nous à privacy@musmap.com. Nous répondrons sous 30 jours conformément à l'article 12 du RGPD.

Suppression de compte en autonomie : vous pouvez supprimer directement votre compte depuis l'application H Spot via Paramètres > Mon compte > Supprimer mon compte. Cette suppression est irréversible et déclenche l'effacement de vos données sous 30 jours.

7. Mineurs

Nos services ne sont pas destinés aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles concernant des mineurs de moins de 16 ans. Si vous êtes parent ou tuteur légal et constatez que votre enfant nous a fourni des données personnelles sans votre consentement, veuillez nous contacter à privacy@musmap.comafin que nous procédions à leur suppression immédiate.

8. Publicité (H Spot Consumer)

L'application H Spot Consumer affiche des publicités via Google AdMob afin de financer le service. Avant tout traitement publicitaire dans l'Espace Économique Européen et au Royaume-Uni, un bandeau de consentement conforme aux exigences IAB TCF v2.2 vous est présenté via UMP (User Messaging Platform de Google).

Vous pouvez à tout moment réinitialiser votre choix dans Paramètres > Confidentialité > Préférences publicitaires. Vous pouvez également désactiver la publicité personnalisée dans les paramètres de votre appareil (Android : Paramètres > Google > Annonces ; iOS : Réglages > Confidentialité > Suivi).

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, altération, divulgation ou destruction :

• Chiffrement TLS 1.3 pour toutes les communications réseau.
• Chiffrement au repos sur Firebase Firestore et Firebase Storage.
• Authentification forte via Firebase Auth (mots de passe hachés avec bcrypt).
• Vérification du numéro de téléphone par OTP pour H Spot Manager.
• Règles de sécurité Firestore strictes (lectures/écritures filtrées par rôle).
• Audits réguliers des Cloud Functions et des règles de sécurité.
• Sous-traitants certifiés ISO 27001, SOC 2 et PCI-DSS (Stripe).

10. Cookies et technologies similaires (site musmap.com)

Le site musmap.com utilise les cookies suivants :

• Cookies strictement nécessaires : fonctionnement du site, préférence de langue (next-intl). Pas de consentement requis.
• Cookies analytiques : Google Analytics 4 (anonymisation IP activée). Consentement requis via bandeau cookies. Durée : 13 mois.
• Cookies de géolocalisation par pays : detected_country (Vercel/Cloudflare), pour servir la version localisée. Durée : 30 jours.

Vous pouvez gérer vos préférences cookies à tout moment via le lien Gestion des cookiesen pied de page, ou désactiver les cookies directement dans les paramètres de votre navigateur.

11. Modifications de cette politique

Nous pouvons être amenés à modifier cette politique de confidentialité pour refléter des changements légaux, techniques ou opérationnels. En cas de modification substantielle, vous serez informé(e) par email (si vous avez un compte) et/ou par notification dans l'application au moins 30 jours avant l'entrée en vigueur des modifications.

La date de dernière mise à jour figure en haut de cette page.

12. Contact

Pour toute question relative à cette politique de confidentialité ou pour exercer vos droits :

Email principal : privacy@musmap.com
Email alternatif : 2adevellopment@gmail.com
Courrier postal : 2A Digital LLC, 30 N Gould St, Ste R, Sheridan, WY 82801, USA
Délai de réponse : 30 jours maximum (RGPD article 12)