Introduction
Cette Politique de Confidentialité décrit comment Signal Quest collecte, utilise, stocke et protège vos informations. Elle s'applique à l'ensemble des services : application Android, site web, API associées et fonctionnalités sociales, conformément au RGPD et au droit français applicable.
Le responsable est Meovo (Alexandre Germain, EI), SIREN 105 419 915, 30 Avenue Maréchal Foch, Bureau 3, 69006 Lyon (France). Pour toute demande relative à vos données : privacy@signalquest.fr.
Données Collectées
2.1 Identification et compte
- Adresse email — authentification et communications importantes
- Nom d'utilisateur — identifiant public visible par la communauté
- Mot de passe — stocké hashé avec bcrypt, jamais en clair
- Avatar, rôle (utilisateur / modérateur / admin) et token FCM pour les notifications push Android
2.2 Localisation GPS
- Sessions de couverture, speedtests, validations et photos géolocalisées
- Live Share — partagée avec vos amis si vous l’activez explicitement
- Historique de localisation — détection de zones fréquentes, supprimable à tout moment
Sur Android, la localisation en arrière-plan n'est jamais demandée automatiquement : elle n'est proposée que si vous activez volontairement le mode « Live en fond », désactivable à tout moment, avec notification de service visible.
2.3 Données de réseau mobile (Android)
Collectées via l'API TelephonyManager : qualité du signal (RSRP, RSRQ, RSSI, SNR, SS-RSRP, SS-SINR…), identification de cellule (Cell ID, eNB, gNB, PCI, TAC, LAC), fréquences (EARFCN, NR-ARFCN, bandes, Carrier Aggregation), technologie (2G→5G SA), opérateur (MCC/MNC), Timing Advance et Score NQS.
Numéro de téléphone · Contacts · SMS / messages personnels · Journaux d'appels · Applications installées · Identifiant IMEI
2.4 – 2.8 Performance, messagerie, social, médias, gamification
- Speedtest — débit, ping, latence, jitter, type de connexion, modèle d'appareil ; chaque test public ou privé
- Messagerie — contenu chiffré en E2EE ; clé publique sur nos serveurs, clé privée chiffrée localement (PBKDF2, 210 000 itérations) ; pièces jointes, réactions, messages programmés/éphémères ; appels SRTP via LiveKit
- Social — amitiés, blocages, statut de présence (paramétrable), statut personnalisé, confidentialité des messages
- Photos & médias — photos d'antennes (modérées), métadonnées EXIF si présentes, réactions, commentaires, signalements
- Gamification — points, niveau, badges, classement public, jours consécutifs, historique d'événements
- Appareils de confiance — clé publique WebAuthn (Passkey/PRF) ou Keystore Android ; les clés privées ne quittent jamais votre appareil. Rapports de bugs — contexte technique, captures jointes volontairement
2.11 Permissions Android & diagnostics
| Permission | Usage | Caractère |
|---|---|---|
| Localisation (fine / coarse) | Carte, sessions, speedtests, Live Share, zones | Nécessaire (mesure & cartographie) |
| État du téléphone / radio | Lecture des infos radio et cellules | Nécessaire (métriques réseau) |
| Caméra / Micro / Médias | Photos d'antennes, messages vocaux, appels | Optionnel, à l'usage |
| Notifications & journaux techniques | Push, sécurité, diagnostic et correction de bugs | Optionnel / limité au besoin |
Une permission Android n'est pas, à elle seule, une base légale RGPD. Lorsque le traitement repose sur le consentement, celui-ci est demandé en plus de l'autorisation technique du système.
Utilisation des Données
Nous utilisons vos données uniquement pour : la cartographie collaborative, l'authentification et la sécurité, la gamification, les statistiques réseau agrégées, la messagerie et les appels, les notifications paramétrables, la modération et l'amélioration du service.
- Vendre vos données à des tiers
- Utiliser vos données pour de la publicité ciblée ou personnalisée
- Partager votre localisation avec des annonceurs
- Accéder au contenu de vos messages E2EE (techniquement impossible)
- Vous tracker en dehors de l’application ou partager vos données sans consentement
Base Légale (RGPD)
Conformément au RGPD, chaque traitement repose sur une base légale explicite :
Collecte GPS pour les sessions et le Live Share · Enregistrement d'appels · Transcription vocale · Fonctions optionnelles caméra/micro
Création et gestion de compte · Fourniture des fonctionnalités (carte, messagerie, appels, export, gamification)
Modération et prévention des abus · Sécurité · Journalisation · Diagnostic d'incidents · Amélioration du service. Ces traitements reposent sur une mise en balance entre nos intérêts et vos droits et libertés ; vous pouvez vous y opposer (voir « Vos droits »).
Conservation de logs de connexion · Réponse aux demandes des autorités compétentes
Partage des Données
5.1 Données publiques vs privées
Nom d'utilisateur, avatar · Points, niveau, badges, classement · Contributions à la carte (couverture, speedtests publics, validations) · Photos approuvées · Commentaires
Email, mot de passe hashé · Historique de localisation · Messages, conversations, clés E2EE · Appareils de confiance · Amis / blocages · Données réseau brutes · Rapports privés
5.2 Fournisseurs de services
Ces prestataires traitent vos données uniquement pour notre compte, dans le cadre de DPA conformes au RGPD :
| Fournisseur | Usage | Localisation |
|---|---|---|
| OVH VPS + Coolify | Hébergement web, PostgreSQL, orchestration | France (UE) |
| Firebase / Google | Notifications push FCM & Crashlytics | UE / US (CCT) |
| LiveKit | Infrastructure audio/vidéo des appels | UE |
| SMTP / Resend (fallback) | Emails transactionnels | France (UE) ; US si fallback |
| AWS (S3 / CloudFront) | Stockage objet & fichier de test de débit | UE / US possibles |
| Stripe Payments Europe | Paiements, factures et reçus | Irlande (UE) ; US (DPF / CCT) |
| Google Play Billing | Achats in-app & abonnements Android | Irlande (UE) ; US (DPF / CCT) |
| Google AdMob | Publicités récompensées NON personnalisées (sans ID pub, sans ciblage) ; consentement via UMP | Irlande (UE) ; US (DPF / CCT) |
Identifiant utilisateur, email, montants, métadonnées anti-fraude. Les numéros de carte sont saisis directement chez Stripe (PCI-DSS Niveau 1) et jamais reçus ni stockés par Meovo. Base légale : exécution du contrat (6.1.b) et intérêt légitime anti-fraude (6.1.f). Conservation conforme aux obligations comptables (10 ans, art. L123-22 du Code de commerce).
Conservation des Données
Nous conservons vos données le temps strictement nécessaire aux finalités pour lesquelles elles ont été collectées et, le cas échéant, pour respecter nos obligations légales (comptables, sécurité). À l'issue de ces durées, les données sont supprimées ou anonymisées de façon irréversible.
| Type de données | Durée |
|---|---|
| Compte utilisateur | Jusqu'à suppression du compte |
| Points de couverture | 5 ans (puis anonymisés) |
| Speedtests | 3 ans (puis anonymisés) |
| Messages & conversations | Jusqu'à suppression manuelle |
| Historique de localisation (zones) | 6 mois glissants, puis suppression auto |
| Logs de connexion | 30 jours |
| Rapports de bugs | Résolution + 6 mois d'archivage |
| Appareils de confiance révoqués | Purgés automatiquement après 90 jours |
Vos Droits (RGPD)
En tant que résident(e) de l'UE, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès
Consultez toutes vos données depuis votre profil
Portabilité
Exportez vos données au format JSON via « Mes données »
Rectification
Modifiez profil, email ou nom à tout moment
Effacement
Supprimez votre compte et les données associées
Opposition & limitation
Refusez ou suspendez certains traitements (intérêt légitime)
Retrait du consentement
À tout moment pour les traitements optionnels
Réclamation auprès de la CNIL
Vous pouvez introduire une réclamation auprès de la CNIL si vous estimez le traitement non conforme (art. 77 RGPD), sans préjudice de tout autre recours
Directives post-mortem
Définissez le sort de vos données après votre décès et confiez-en l'exécution à un tiers (art. 85 de la loi Informatique et Libertés)
Contactez-nous à privacy@signalquest.fr. Nous répondons dans un délai de 30 jours maximum (porté à 3 mois pour les demandes complexes, avec information préalable).
Sécurité des Données
- Chiffrement en transit — HTTPS / TLS 1.3 pour toutes les communications
- Mots de passe — hashage bcrypt avec salt, jamais en clair · tokens HttpOnly + SameSite=Lax
- E2EE messagerie — clés générées côté client ; nos serveurs ne peuvent lire vos messages · clés privées dans le Keystore / WebAuthn
- Base de données — PostgreSQL à accès restreint, connexions chiffrées, backups quotidiens chiffrés · hébergement VPS OVH en France · appels SRTP via LiveKit
En cas de violation de données, nous notifions la CNIL dans les 72 heures lorsqu'elle est susceptible d'engendrer un risque pour vos droits et libertés (art. 33 RGPD). Lorsqu'elle est susceptible d'engendrer un risque élevé pour vous, nous vous en informons dans les meilleurs délais (art. 34 RGPD), sauf si les données concernées étaient protégées par des mesures appropriées telles que le chiffrement.
Transferts Internationaux
L'infrastructure principale de Signal Quest est exploitée depuis la France (OVH). Certaines fonctionnalités reposent toutefois sur des prestataires susceptibles de traiter des données aux États-Unis.
Google / Firebase (push FCM, Crashlytics, AdMob) et Amazon Web Services (S3 / CloudFront) sont certifiés au titre du EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023). Pour les prestataires non couverts par cette décision (par ex. le fallback Resend), les transferts sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
Protection des Mineurs
En France, Signal Quest est destiné en priorité aux personnes âgées de 15 ans et plus. En dessous, l'utilisation impliquant un traitement fondé sur le consentement suppose l'accord du titulaire de l'autorité parentale.
Si nous découvrons que des données d'un mineur ont été collectées en méconnaissance des règles applicables, nous prendrons les mesures nécessaires (suppression ou restriction du compte). Signalez ces cas à privacy@signalquest.fr.
Modifications
Nous pouvons modifier cette Politique pour refléter l'évolution de nos pratiques ou des exigences légales. En cas de modification substantielle, vous serez informé(e) par email, notification dans l'application et bannière sur le site. La version mise à jour est effective dès sa publication.
Contact et CNIL
- Entité
- Meovo (Alexandre Germain, EI)
- SIREN
- 105 419 915
- Adresse
- 30 Avenue Maréchal Foch, Bureau 3, 69006 Lyon
- privacy@signalquest.fr
www.cnil.fr
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07 — +33 1 53 73 22 22
Cette Politique s'interprète à la lumière du droit français et du RGPD (UE 2016/679), sans préjudice des droits impératifs des consommateurs et personnes concernées.