Politique de confidentialité
Application 111 — Assistance citoyenne en temps réel
1. Préambule
La présente politique de confidentialité décrit la manière dont PROBIALIS SAS (« 111 », « nous ») collecte, utilise et protège vos données personnelles lorsque vous utilisez l'application mobile 111 (l'« Application ») et le site www.oneoneone.fr (le « Site »).
Cette politique est conforme au Règlement européen sur la protection des données (RGPD), à la Loi Informatique et Libertés du 6 janvier 1978 modifiée, et aux exigences des plateformes Apple App Store et Google Play.
En utilisant l'Application, vous acceptez les termes de la présente politique.
2. Responsable de traitement
PROBIALIS SAS
13 rue de Téhéran, 75008 Paris, France
SIREN 999 306 277 — RCS Paris n° 999 306 277
Email : contact@oneoneone.fr
Le délégué à la protection des données peut être contacté à la même adresse.
3. Données personnelles collectées
Nous collectons uniquement les données strictement nécessaires au fonctionnement de l'Application et à votre sécurité.
3.1 Données fournies à l'inscription et au profil
- Numéro de téléphone (obligatoire pour l'authentification SMS)
- Adresse e-mail (ou via Sign in with Apple / Google)
- Prénom ou pseudonyme (optionnel)
- Photo de profil (optionnelle) — stockée en France (Scaleway, Paris), remplaçable et supprimable à tout moment depuis le profil
Les avatars illustrés proposés dans l'Application sont un simple choix local sur votre appareil : aucune donnée n'est transmise à nos serveurs.
3.2 Vérification d'identité
Pour déclencher une alerte ou répondre à des appels à l'aide en tant que témoin, une vérification est requise via notre prestataire certifié Didit (Wave Solutions OÜ, Estonie) :
- Document d'identité (CNI ou passeport)
- Selfie de vérification
- Date de naissance et sexe extraits du document (le sexe sert uniquement à personnaliser par défaut l'apparence de l'assistant visuel, modifiable à tout moment)
- Empreintes de dédoublonnage (hachage de l'identité et du numéro de document), à des fins exclusives de prévention de la fraude : une même identité ne peut vérifier qu'un seul compte
Les images du document ne sont pas conservées par 111. Seuls un statut « vérifié / non vérifié », les éléments listés ci-dessus et un identifiant Didit interne sont stockés.
3.3 Casier judiciaire (bulletin n° 3, badge « Témoin de Confiance »)
L'analyse du bulletin n° 3 est réalisée exclusivement sur votre appareil (reconnaissance de texte locale : Apple Vision sur iOS, Google ML Kit sur Android), et son authenticité est vérifiée par vos soins sur le portail officiel du Ministère de la Justice.
L'image du bulletin, les codes de vérification et l'état civil qui y figurent ne sont jamais transmis à nos serveurs ni à aucun sous-traitant. Seuls le résultat de la vérification (bulletin néant, concordance d'identité) et sa date sont conservés.
3.4 Géolocalisation
- Position GPS précise lors du déclenchement d'une alerte et pendant une alerte active
- Position GPS précise lors de la réponse comme témoin (pendant la mission uniquement)
- Dernière position connue pendant l'utilisation de l'Application (mise à jour espacée), utilisée uniquement pour vous proposer les alertes proches ; les positions de plus de 30 jours sont exclues
Aucune position n'est collectée en arrière-plan en dehors d'une alerte active. Sur la carte d'accueil, la présence d'Éclaireurs à proximité est affichée uniquement sous forme de positions volontairement imprécises (décalage aléatoire de 80 à 240 mètres, régulièrement renouvelé) et strictement anonymes ; vous pouvez vous y opposer dans Paramètres → Confidentialité.
3.5 Preuves
- Enregistrements vidéo et audio capturés volontairement pendant une alerte
- Hachage cryptographique SHA-256, signature serveur et horodatage qualifié (eIDAS) des fichiers — chaîne probatoire
Les preuves sont chiffrées sur votre appareil avant transmission (chiffrement de bout en bout). La clé de déchiffrement de chaque preuve est scellée pour un unique dispositif de séquestre, dont la reconstitution requiert la coopération de plusieurs détenteurs de fragments distincts : PROBIALIS ne peut pas, seule, déchiffrer le contenu des preuves.
3.6 Cercle proche et veille d'un proche
Prénom et numéro de téléphone des contacts ajoutés manuellement ou depuis votre répertoire, avec votre accord explicite, dans votre cercle proche (5 contacts maximum).
Dans le cadre de la veille d'un proche (palier Veilleur), vous renseignez le prénom et le numéro d'un proche à veiller. Ce proche n'est pas utilisateur de l'Application : il reçoit uniquement un SMS de pointage contenant un lien sécurisé, et aucun compte ne lui est créé. Ces données sont supprimées à la fin de la veille ou à la clôture du compte.
Le répertoire de votre téléphone n'est lu qu'au moment où vous choisissez un contact, avec l'autorisation du système ; il n'est jamais copié.
3.7 Missions témoin et signalements
- Historique de vos missions témoin ; en cas de refus ou de désistement, la raison sélectionnée est conservée afin de documenter le caractère explicite et volontaire de ce choix
- Demande de transmission judiciaire de vos preuves : date et statut de la demande, conservés avec le dossier d'alerte
- Signalements de ressenti d'insécurité : coordonnées volontairement dégradées (arrondies à une centaine de mètres) dès l'enregistrement, exploitées uniquement de manière agrégée et anonyme
3.8 Données techniques
- Attestation d'intégrité de l'appareil (Apple App Attest, Google Play Integrity) : identifiant d'attestation, empreinte d'une clé matérielle et verdict — aucune donnée sur le contenu de votre appareil
- Jeton de notification push (Expo)
- Adresse IP (logs serveur, journal d'audit)
- Type d'appareil et version du système
- Données de plantage et performance (données personnelles filtrées avant envoi à Sentry)
- Interactions avec l'Application (écrans consultés, durées de chargement — via PostHog, hébergé en UE, sans donnée identifiante ; opposable dans Paramètres → Confidentialité)
3.9 Abonnement et parrainage
Statut d'abonnement géré par RevenueCat. Aucune donnée bancaire n'est traitée par 111 — tous les paiements transitent par Apple ou Google.
Programme de parrainage : votre code personnel, le code du parrain éventuellement saisi à l'inscription, la source d'acquisition (paramètres de campagne) et la date d'expiration des avantages offerts — exclusivement pour l'attribution des récompenses et la mesure des canaux d'acquisition.
4. Finalités et bases juridiques
| Finalité | Base juridique RGPD |
|---|---|
| Création et gestion de votre compte | Exécution du contrat (Art. 6.1.b) |
| Authentification OTP / Apple / Google | Exécution du contrat (Art. 6.1.b) |
| Vérification d'identité (Didit) et du casier (B3) | Contrat (Art. 6.1.b) + sécurité (Art. 6.1.f) |
| Déclenchement et gestion d'alerte | Sauvegarde des intérêts vitaux (Art. 6.1.d) |
| Matching avec les témoins à proximité | Sauvegarde des intérêts vitaux (Art. 6.1.d) |
| Notification SMS au cercle proche et veille d'un proche | Intérêts vitaux (Art. 6.1.d) / contrat (Art. 6.1.b) |
| Capture, scellement et conservation des preuves | Contrat (Art. 6.1.b) + intérêt légitime (Art. 6.1.f) |
| Notifications push de mission témoin | Exécution du contrat (Art. 6.1.b) |
| Mesure d'audience et amélioration produit | Intérêt légitime (Art. 6.1.f) — opposable à tout moment |
| Newsletter et communications non essentielles | Consentement (Art. 6.1.a) — retirable à tout moment |
| Lutte contre la fraude et faux signalements | Intérêt légitime (Art. 6.1.f) |
| Conformité légale et réquisitions | Obligation légale (Art. 6.1.c) |
5. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur actif (dont photo de profil, résultat B3) | Tant que le compte est actif |
| Compte supprimé | Anonymisation sous 30 jours |
| Preuves scellées (vidéo, audio) et métadonnées d'alerte | 5 ans (valeur probatoire, prescription contentieux) |
| Veille d'un proche (prénom, numéro du proche) | Durée de la veille, au plus tard clôture du compte |
| Logs serveur et journal d'audit | 12 mois |
| Données de plantage Sentry | 90 jours |
| Données analytics PostHog | 12 mois |
6. Destinataires et sous-traitants
Vos données sont accessibles uniquement aux personnes habilitées au sein de PROBIALIS SAS et aux sous-traitants suivants, tous engagés par contrat (DPA) :
| Sous-traitant | Rôle | Pays |
|---|---|---|
| Neon | Hébergement base de données | Allemagne |
| Railway | Hébergement API | Pays-Bas |
| Scaleway | Stockage des preuves scellées et photos de profil | France |
| Certigna | Horodatage qualifié des preuves (eIDAS) | France |
| Twilio | Envoi SMS (OTP, cercle proche, veille, consentement parental) | États-Unis (DPA + SCC) |
| Didit (Wave Solutions OÜ) | Vérification d'identité KYC | Estonie |
| Apple Push, Expo Push | Notifications mobiles | États-Unis (DPA + SCC) |
| RevenueCat | Gestion des abonnements | États-Unis (DPA + SCC) |
| Sentry | Suivi d'erreurs techniques (PII filtrée) | États-Unis (DPA + SCC) |
| PostHog EU | Analytics produit | Union européenne |
| Brevo | Emails transactionnels et newsletter (email, prénom, plan, statut de vérification, consentement) | France |
Vos données ne sont vendues à aucun tiers et ne sont jamais utilisées à des fins publicitaires.
7. Transferts internationaux
Certaines données peuvent être transférées hors de l'Union européenne (États-Unis) chez Twilio, Apple Push, Expo Push, RevenueCat et Sentry. Ces transferts sont encadrés par les Clauses Contractuelles Types (Décision 2021/914) de la Commission européenne et par les Data Processing Agreements signés avec chaque sous-traitant.
L'hébergement principal des données (base de données et preuves) reste dans l'Union européenne.
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles renforcées, conformes à l'état de l'art :
- Chiffrement TLS 1.2+ pour toutes les communications
- Chiffrement des preuves de bout en bout, dès l'appareil, avec clé sous séquestre multi-détenteurs (PROBIALIS ne peut pas, seule, déchiffrer le contenu)
- Chiffrement au repos des bases de données
- Authentification forte (OTP SMS, Sign in with Apple/Google) avec rotation des jetons
- App Attest (iOS) et Play Integrity (Android) contre les appareils compromis
- Hachage SHA-256, signature serveur et horodatage qualifié eIDAS sur chaque preuve (chaîne probatoire)
- Stockage des preuves à écriture unique (WORM) : aucune modification possible après dépôt
- Journal d'audit immuable des actions sensibles et des accès aux preuves
- Filtrage des données personnelles avant envoi vers Sentry
- Rotation régulière des secrets serveur et clés d'API
9. Qui peut accéder aux preuves ?
Le contenu des preuves n'est pas directement consultable, y compris par vous. Les régimes d'accès sont strictement définis :
| Demandeur | Ce qui est remis |
|---|---|
| Vous (victime) | Récapitulatif certifié des métadonnées (PDF — droit d'accès, Art. 15 RGPD) : horodatage, position, durée — jamais le contenu vidéo |
| Votre avocat mandaté | Contenu vidéo, marqué (watermark), sur justificatif de mandat |
| Autorités judiciaires | Contenu intégral sur réquisition (art. 60-1 CPP), frais de traitement facturés à l'acte |
| Votre assureur | Uniquement avec votre consentement écrit |
| Tout autre tiers | Refus |
Vous pouvez initier une demande de transmission judiciaire directement depuis l'Application ; chaque accès est journalisé de manière immuable.
10. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès — obtenir une copie de vos données personnelles
- Droit de rectification — corriger des données inexactes
- Droit à l'effacement — supprimer votre compte et vos données
- Droit d'opposition — refuser certains traitements (analyses d'usage, matching témoin, affichage anonymisé de présence)
- Droit à la limitation — restreindre l'usage de vos données
- Droit à la portabilité — récupérer vos données dans un format structuré (export direct depuis l'Application)
- Droit de retirer votre consentement (newsletter, assureur) à tout moment
Pour exercer ces droits :
- Depuis l'Application : Profil → Paramètres → Mes droits RGPD
- Par e-mail : contact@oneoneone.fr
Nous répondons sous 30 jours maximum.
En cas de désaccord, vous pouvez saisir la CNIL : www.cnil.fr — 3 place de Fontenoy, 75007 Paris.
11. Protection des mineurs
L'âge minimum d'inscription est fixé à 15 ans en France (art. 45 LIL) et 13 ans en Belgique (loi du 30 juillet 2018). Pour les autres pays de l'UE, l'âge par défaut est 15 ans.
Pour les utilisateurs âgés de 15 à 17 ans, le consentement d'un parent ou tuteur légal est requis, recueilli par SMS avant la vérification d'identité. Le numéro du représentant légal n'est conservé que sous forme d'empreinte (hachage) et le lien de consentement expire après 24 heures. En cas de refus du représentant légal, le compte du mineur est placé en suppression et toute reconnexion est bloquée tant qu'un consentement n'a pas été accordé.
Si un utilisateur déclare un âge supérieur puis se révèle mineur lors de la vérification d'identité, ses données (images du document, informations extraites) sont automatiquement purgées et son compte est suspendu en attente du consentement parental.
Les mineurs ne peuvent pas souscrire d'abonnement payant et ne sont jamais mobilisés comme témoins.
13. Décision automatisée
Le matching des témoins à proximité d'une alerte est réalisé automatiquement par notre algorithme de proximité géographique. Ce traitement est exclusivement basé sur la distance entre l'alerteur et les témoins potentiels, leur statut de vérification d'identité et leur score interne de comportement.
Aucune décision produisant des effets juridiques ou affectant de manière significative la personne concernée n'est prise par un algorithme seul. L'utilisateur peut à tout moment refuser le matching (Profil → Paramètres → Confidentialité).
14. Violation de données
En cas de violation susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- Notifier la CNIL dans un délai de 72 heures (Art. 33 RGPD)
- Vous informer dans les meilleurs délais si le risque est élevé (Art. 34 RGPD)
Notre procédure interne de gestion d'incident est documentée et testée régulièrement.
15. ⚠ 111 n'est pas un service d'urgence
En cas de danger immédiat, contactez les services d'urgence officiels :
- 112 — numéro d'urgence européen unique
- 15 — SAMU (urgences médicales)
- 17 — Police
- 18 — Pompiers
111 est un outil complémentaire de mobilisation citoyenne, qui ne remplace en aucun cas l'intervention des secours professionnels.
16. Modifications
Nous nous réservons le droit de modifier la présente politique à tout moment. Toute modification substantielle vous sera notifiée par e-mail et dans l'Application.
La date de dernière mise à jour figure en haut de cette page. La version de référence complète est consultable sur cette même page.
17. Droit applicable
La présente politique est régie par le droit français. En cas de litige, les tribunaux de Paris sont seuls compétents, sous réserve des dispositions impératives de la loi française.
18. Contact
Pour toute question relative à cette politique ou à l'exercice de vos droits :
PROBIALIS SAS — Délégué à la protection des données
13 rue de Téhéran, 75008 Paris, France
Nous répondons sous 30 jours maximum.