Politique de confidentialité

Application 111 — Assistance citoyenne en temps réel

Éditeur : PROBIALIS SAS Version : 1.2 Mise à jour : 3 juillet 2026

1. Préambule

La présente politique de confidentialité décrit la manière dont PROBIALIS SAS (« 111 », « nous ») collecte, utilise et protège vos données personnelles lorsque vous utilisez l'application mobile 111 (l'« Application ») et le site www.oneoneone.fr (le « Site »).

Cette politique est conforme au Règlement européen sur la protection des données (RGPD), à la Loi Informatique et Libertés du 6 janvier 1978 modifiée, et aux exigences des plateformes Apple App Store et Google Play.

En utilisant l'Application, vous acceptez les termes de la présente politique.

2. Responsable de traitement

PROBIALIS SAS

13 rue de Téhéran, 75008 Paris, France

SIREN 999 306 277 — RCS Paris n° 999 306 277

Email : contact@oneoneone.fr

Le délégué à la protection des données peut être contacté à la même adresse.

3. Données personnelles collectées

Nous collectons uniquement les données strictement nécessaires au fonctionnement de l'Application et à votre sécurité.

3.1 Données fournies à l'inscription et au profil

  • Numéro de téléphone (obligatoire pour l'authentification SMS)
  • Adresse e-mail (ou via Sign in with Apple / Google)
  • Prénom ou pseudonyme (optionnel)
  • Photo de profil (optionnelle) — stockée en France (Scaleway, Paris), remplaçable et supprimable à tout moment depuis le profil

Les avatars illustrés proposés dans l'Application sont un simple choix local sur votre appareil : aucune donnée n'est transmise à nos serveurs.

3.2 Vérification d'identité

Pour déclencher une alerte ou répondre à des appels à l'aide en tant que témoin, une vérification est requise via notre prestataire certifié Didit (Wave Solutions OÜ, Estonie) :

  • Document d'identité (CNI ou passeport)
  • Selfie de vérification
  • Date de naissance et sexe extraits du document (le sexe sert uniquement à personnaliser par défaut l'apparence de l'assistant visuel, modifiable à tout moment)
  • Empreintes de dédoublonnage (hachage de l'identité et du numéro de document), à des fins exclusives de prévention de la fraude : une même identité ne peut vérifier qu'un seul compte

Les images du document ne sont pas conservées par 111. Seuls un statut « vérifié / non vérifié », les éléments listés ci-dessus et un identifiant Didit interne sont stockés.

3.3 Casier judiciaire (bulletin n° 3, badge « Témoin de Confiance »)

L'analyse du bulletin n° 3 est réalisée exclusivement sur votre appareil (reconnaissance de texte locale : Apple Vision sur iOS, Google ML Kit sur Android), et son authenticité est vérifiée par vos soins sur le portail officiel du Ministère de la Justice.

L'image du bulletin, les codes de vérification et l'état civil qui y figurent ne sont jamais transmis à nos serveurs ni à aucun sous-traitant. Seuls le résultat de la vérification (bulletin néant, concordance d'identité) et sa date sont conservés.

3.4 Géolocalisation

  • Position GPS précise lors du déclenchement d'une alerte et pendant une alerte active
  • Position GPS précise lors de la réponse comme témoin (pendant la mission uniquement)
  • Dernière position connue pendant l'utilisation de l'Application (mise à jour espacée), utilisée uniquement pour vous proposer les alertes proches ; les positions de plus de 30 jours sont exclues

Aucune position n'est collectée en arrière-plan en dehors d'une alerte active. Sur la carte d'accueil, la présence d'Éclaireurs à proximité est affichée uniquement sous forme de positions volontairement imprécises (décalage aléatoire de 80 à 240 mètres, régulièrement renouvelé) et strictement anonymes ; vous pouvez vous y opposer dans Paramètres → Confidentialité.

3.5 Preuves

  • Enregistrements vidéo et audio capturés volontairement pendant une alerte
  • Hachage cryptographique SHA-256, signature serveur et horodatage qualifié (eIDAS) des fichiers — chaîne probatoire

Les preuves sont chiffrées sur votre appareil avant transmission (chiffrement de bout en bout). La clé de déchiffrement de chaque preuve est scellée pour un unique dispositif de séquestre, dont la reconstitution requiert la coopération de plusieurs détenteurs de fragments distincts : PROBIALIS ne peut pas, seule, déchiffrer le contenu des preuves.

3.6 Cercle proche et veille d'un proche

Prénom et numéro de téléphone des contacts ajoutés manuellement ou depuis votre répertoire, avec votre accord explicite, dans votre cercle proche (5 contacts maximum).

Dans le cadre de la veille d'un proche (palier Veilleur), vous renseignez le prénom et le numéro d'un proche à veiller. Ce proche n'est pas utilisateur de l'Application : il reçoit uniquement un SMS de pointage contenant un lien sécurisé, et aucun compte ne lui est créé. Ces données sont supprimées à la fin de la veille ou à la clôture du compte.

Le répertoire de votre téléphone n'est lu qu'au moment où vous choisissez un contact, avec l'autorisation du système ; il n'est jamais copié.

3.7 Missions témoin et signalements

  • Historique de vos missions témoin ; en cas de refus ou de désistement, la raison sélectionnée est conservée afin de documenter le caractère explicite et volontaire de ce choix
  • Demande de transmission judiciaire de vos preuves : date et statut de la demande, conservés avec le dossier d'alerte
  • Signalements de ressenti d'insécurité : coordonnées volontairement dégradées (arrondies à une centaine de mètres) dès l'enregistrement, exploitées uniquement de manière agrégée et anonyme

3.8 Données techniques

  • Attestation d'intégrité de l'appareil (Apple App Attest, Google Play Integrity) : identifiant d'attestation, empreinte d'une clé matérielle et verdict — aucune donnée sur le contenu de votre appareil
  • Jeton de notification push (Expo)
  • Adresse IP (logs serveur, journal d'audit)
  • Type d'appareil et version du système
  • Données de plantage et performance (données personnelles filtrées avant envoi à Sentry)
  • Interactions avec l'Application (écrans consultés, durées de chargement — via PostHog, hébergé en UE, sans donnée identifiante ; opposable dans Paramètres → Confidentialité)

3.9 Abonnement et parrainage

Statut d'abonnement géré par RevenueCat. Aucune donnée bancaire n'est traitée par 111 — tous les paiements transitent par Apple ou Google.

Programme de parrainage : votre code personnel, le code du parrain éventuellement saisi à l'inscription, la source d'acquisition (paramètres de campagne) et la date d'expiration des avantages offerts — exclusivement pour l'attribution des récompenses et la mesure des canaux d'acquisition.

4. Finalités et bases juridiques

Finalité Base juridique RGPD
Création et gestion de votre compteExécution du contrat (Art. 6.1.b)
Authentification OTP / Apple / GoogleExécution du contrat (Art. 6.1.b)
Vérification d'identité (Didit) et du casier (B3)Contrat (Art. 6.1.b) + sécurité (Art. 6.1.f)
Déclenchement et gestion d'alerteSauvegarde des intérêts vitaux (Art. 6.1.d)
Matching avec les témoins à proximitéSauvegarde des intérêts vitaux (Art. 6.1.d)
Notification SMS au cercle proche et veille d'un procheIntérêts vitaux (Art. 6.1.d) / contrat (Art. 6.1.b)
Capture, scellement et conservation des preuvesContrat (Art. 6.1.b) + intérêt légitime (Art. 6.1.f)
Notifications push de mission témoinExécution du contrat (Art. 6.1.b)
Mesure d'audience et amélioration produitIntérêt légitime (Art. 6.1.f) — opposable à tout moment
Newsletter et communications non essentiellesConsentement (Art. 6.1.a) — retirable à tout moment
Lutte contre la fraude et faux signalementsIntérêt légitime (Art. 6.1.f)
Conformité légale et réquisitionsObligation légale (Art. 6.1.c)

5. Durées de conservation

Donnée Durée
Compte utilisateur actif (dont photo de profil, résultat B3)Tant que le compte est actif
Compte suppriméAnonymisation sous 30 jours
Preuves scellées (vidéo, audio) et métadonnées d'alerte5 ans (valeur probatoire, prescription contentieux)
Veille d'un proche (prénom, numéro du proche)Durée de la veille, au plus tard clôture du compte
Logs serveur et journal d'audit12 mois
Données de plantage Sentry90 jours
Données analytics PostHog12 mois

6. Destinataires et sous-traitants

Vos données sont accessibles uniquement aux personnes habilitées au sein de PROBIALIS SAS et aux sous-traitants suivants, tous engagés par contrat (DPA) :

Sous-traitant Rôle Pays
NeonHébergement base de donnéesAllemagne
RailwayHébergement APIPays-Bas
ScalewayStockage des preuves scellées et photos de profilFrance
CertignaHorodatage qualifié des preuves (eIDAS)France
TwilioEnvoi SMS (OTP, cercle proche, veille, consentement parental)États-Unis (DPA + SCC)
Didit (Wave Solutions OÜ)Vérification d'identité KYCEstonie
Apple Push, Expo PushNotifications mobilesÉtats-Unis (DPA + SCC)
RevenueCatGestion des abonnementsÉtats-Unis (DPA + SCC)
SentrySuivi d'erreurs techniques (PII filtrée)États-Unis (DPA + SCC)
PostHog EUAnalytics produitUnion européenne
BrevoEmails transactionnels et newsletter (email, prénom, plan, statut de vérification, consentement)France

Vos données ne sont vendues à aucun tiers et ne sont jamais utilisées à des fins publicitaires.

7. Transferts internationaux

Certaines données peuvent être transférées hors de l'Union européenne (États-Unis) chez Twilio, Apple Push, Expo Push, RevenueCat et Sentry. Ces transferts sont encadrés par les Clauses Contractuelles Types (Décision 2021/914) de la Commission européenne et par les Data Processing Agreements signés avec chaque sous-traitant.

L'hébergement principal des données (base de données et preuves) reste dans l'Union européenne.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles renforcées, conformes à l'état de l'art :

  • Chiffrement TLS 1.2+ pour toutes les communications
  • Chiffrement des preuves de bout en bout, dès l'appareil, avec clé sous séquestre multi-détenteurs (PROBIALIS ne peut pas, seule, déchiffrer le contenu)
  • Chiffrement au repos des bases de données
  • Authentification forte (OTP SMS, Sign in with Apple/Google) avec rotation des jetons
  • App Attest (iOS) et Play Integrity (Android) contre les appareils compromis
  • Hachage SHA-256, signature serveur et horodatage qualifié eIDAS sur chaque preuve (chaîne probatoire)
  • Stockage des preuves à écriture unique (WORM) : aucune modification possible après dépôt
  • Journal d'audit immuable des actions sensibles et des accès aux preuves
  • Filtrage des données personnelles avant envoi vers Sentry
  • Rotation régulière des secrets serveur et clés d'API

9. Qui peut accéder aux preuves ?

Le contenu des preuves n'est pas directement consultable, y compris par vous. Les régimes d'accès sont strictement définis :

Demandeur Ce qui est remis
Vous (victime)Récapitulatif certifié des métadonnées (PDF — droit d'accès, Art. 15 RGPD) : horodatage, position, durée — jamais le contenu vidéo
Votre avocat mandatéContenu vidéo, marqué (watermark), sur justificatif de mandat
Autorités judiciairesContenu intégral sur réquisition (art. 60-1 CPP), frais de traitement facturés à l'acte
Votre assureurUniquement avec votre consentement écrit
Tout autre tiersRefus

Vous pouvez initier une demande de transmission judiciaire directement depuis l'Application ; chaque accès est journalisé de manière immuable.

10. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès — obtenir une copie de vos données personnelles
  • Droit de rectification — corriger des données inexactes
  • Droit à l'effacement — supprimer votre compte et vos données
  • Droit d'opposition — refuser certains traitements (analyses d'usage, matching témoin, affichage anonymisé de présence)
  • Droit à la limitation — restreindre l'usage de vos données
  • Droit à la portabilité — récupérer vos données dans un format structuré (export direct depuis l'Application)
  • Droit de retirer votre consentement (newsletter, assureur) à tout moment

Pour exercer ces droits :

  • Depuis l'Application : Profil → Paramètres → Mes droits RGPD
  • Par e-mail : contact@oneoneone.fr

Nous répondons sous 30 jours maximum.

En cas de désaccord, vous pouvez saisir la CNIL : www.cnil.fr — 3 place de Fontenoy, 75007 Paris.

11. Protection des mineurs

L'âge minimum d'inscription est fixé à 15 ans en France (art. 45 LIL) et 13 ans en Belgique (loi du 30 juillet 2018). Pour les autres pays de l'UE, l'âge par défaut est 15 ans.

Pour les utilisateurs âgés de 15 à 17 ans, le consentement d'un parent ou tuteur légal est requis, recueilli par SMS avant la vérification d'identité. Le numéro du représentant légal n'est conservé que sous forme d'empreinte (hachage) et le lien de consentement expire après 24 heures. En cas de refus du représentant légal, le compte du mineur est placé en suppression et toute reconnexion est bloquée tant qu'un consentement n'a pas été accordé.

Si un utilisateur déclare un âge supérieur puis se révèle mineur lors de la vérification d'identité, ses données (images du document, informations extraites) sont automatiquement purgées et son compte est suspendu en attente du consentement parental.

Les mineurs ne peuvent pas souscrire d'abonnement payant et ne sont jamais mobilisés comme témoins.

12. Cookies et traceurs

Sur le Site (www.oneoneone.fr)

Le Site utilise uniquement des cookies strictement nécessaires à son fonctionnement (sessions, préférences linguistiques). Aucun cookie publicitaire ni traceur tiers.

Dans l'Application

L'Application ne contient aucun SDK publicitaire ni tracker tiers. Les outils utilisés (Sentry, PostHog) traitent les données uniquement pour notre compte et n'effectuent aucun suivi inter-applications. L'autorisation App Tracking Transparency (ATT) d'Apple n'est pas demandée car aucun tracking n'est effectué. Vous pouvez vous opposer aux analyses d'usage dans Paramètres → Confidentialité.

13. Décision automatisée

Le matching des témoins à proximité d'une alerte est réalisé automatiquement par notre algorithme de proximité géographique. Ce traitement est exclusivement basé sur la distance entre l'alerteur et les témoins potentiels, leur statut de vérification d'identité et leur score interne de comportement.

Aucune décision produisant des effets juridiques ou affectant de manière significative la personne concernée n'est prise par un algorithme seul. L'utilisateur peut à tout moment refuser le matching (Profil → Paramètres → Confidentialité).

14. Violation de données

En cas de violation susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :

  • Notifier la CNIL dans un délai de 72 heures (Art. 33 RGPD)
  • Vous informer dans les meilleurs délais si le risque est élevé (Art. 34 RGPD)

Notre procédure interne de gestion d'incident est documentée et testée régulièrement.

15. ⚠ 111 n'est pas un service d'urgence

En cas de danger immédiat, contactez les services d'urgence officiels :

  • 112 — numéro d'urgence européen unique
  • 15 — SAMU (urgences médicales)
  • 17 — Police
  • 18 — Pompiers

111 est un outil complémentaire de mobilisation citoyenne, qui ne remplace en aucun cas l'intervention des secours professionnels.

16. Modifications

Nous nous réservons le droit de modifier la présente politique à tout moment. Toute modification substantielle vous sera notifiée par e-mail et dans l'Application.

La date de dernière mise à jour figure en haut de cette page. La version de référence complète est consultable sur cette même page.

17. Droit applicable

La présente politique est régie par le droit français. En cas de litige, les tribunaux de Paris sont seuls compétents, sous réserve des dispositions impératives de la loi française.

18. Contact

Pour toute question relative à cette politique ou à l'exercice de vos droits :

PROBIALIS SAS — Délégué à la protection des données

13 rue de Téhéran, 75008 Paris, France

contact@oneoneone.fr

Nous répondons sous 30 jours maximum.

© 2026 PROBIALIS SAS — Tous droits réservés · Version 1.2 du 3 juillet 2026