BROCO

Politique de confidentialité

La présente politique décrit la manière dont BROCO collecte, utilise, partage et protège les données personnelles des utilisateurs de sa plateforme. Elle est rédigée conformément à la Loi fédérale suisse sur la protection des données (nLPD, en vigueur depuis le 1er septembre 2023) et au Règlement général sur la protection des données (RGPD, UE 2016/679) pour les utilisateurs établis dans l'Union européenne.

1. Identité du responsable de traitement

Le responsable du traitement des données personnelles collectées via la Plateforme est BROCO.

Aucun délégué à la protection des données (DPO) n'a été formellement désigné. Toute demande relative aux données personnelles ou à la présente politique peut être adressée à : jeremie@broco-app.com.

2. Données que nous collectons

Nous collectons différentes catégories de données, exclusivement dans les finalités décrites à l'article 3.

2.1 Données de compte et d'authentification

Adresse email, mot de passe (stocké sous forme de hash scrypt et jamais en clair), date de création du compte, statut du compte (Inscrit / Producteur), locale (langue préférée).

Lorsque l'utilisateur s'inscrit ou se connecte via Google OAuth, nous recevons les données strictement nécessaires fournies par Google (identifiant Google, adresse email, nom, photo de profil le cas échéant).

2.2 Données de profil

Nom ou pseudonyme, avatar (image hébergée sur Cloudinary), bio ou description courte, langue préférée.

2.3 Données spécifiques aux Producteurs

Description du producteur, adresse postale, coordonnées géographiques (latitude / longitude), numéro de téléphone, site web, secteurs d'activité, photos des locaux ou productions.

2.4 Consentements

Lors de l'inscription, nous recueillons trois consentements distincts dont l'état est conservé : `geoConsent` (utilisation de la géolocalisation), `marketingConsent` (réception de communications marketing) et `notificationConsent` (envoi de notifications push). Chaque consentement peut être retiré à tout moment depuis les paramètres du Compte.

2.5 Contenus publiés par l'utilisateur

Publications, messages échangés avec d'autres utilisateurs, commentaires, photos, avis et notations, manifestations d'intérêt pour des Activités, relations d'abonnement (follow / unfollow).

2.6 Données liées à l'Abonnement Pro

Identifiant client Stripe, identifiant d'abonnement Stripe, statut de l'abonnement, dates de période, historique de facturation. BROCO ne stocke ni n'a accès aux données de carte bancaire, qui sont gérées exclusivement par Stripe.

2.7 Données techniques

Adresse IP, type de navigateur, système d'exploitation, identifiant de session, identifiant OneSignal (player ID) pour les notifications push, logs techniques (horodatage, URL appelées, codes de réponse).

2.8 Cookies et traceurs

Cookies essentiels (session, authentification, préférence de langue, consentements) ; cookies de mesure d'audience (PostHog EU). Voir l'article 9 pour le détail.

3. Finalités et bases légales

Chaque traitement repose sur une finalité précise et une base légale identifiée au sens du RGPD et de la nLPD. Le tableau ci-dessous résume les principaux traitements :

  • Création et gestion du Compte → exécution du contrat (art. 6.1.b RGPD ; art. 31 al. 2 let. a nLPD).
  • Mise en relation Inscrit ↔ Producteur → exécution du contrat.
  • Hébergement et publication des Contenus → exécution du contrat.
  • Gestion de l'Abonnement Pro et facturation → exécution du contrat.
  • Envoi de notifications push → consentement (art. 6.1.a RGPD).
  • Géolocalisation pour suggestions d'Activités à proximité → consentement.
  • Communications marketing (newsletter, promotions BROCO) → consentement.
  • Mesure d'audience et analyse produit (PostHog EU) → intérêt légitime, amélioration du service (cf. art. 9).
  • Sécurité, prévention de la fraude et résolution des litiges → intérêt légitime.
  • Respect des obligations légales (comptabilité, demandes des autorités) → obligation légale.

4. Destinataires et sous-traitants

BROCO fait appel à des prestataires techniques (sous-traitants au sens du RGPD / mandataires au sens de la nLPD) pour assurer le fonctionnement de la Plateforme. Chacun est tenu par un contrat de sous-traitance assurant un niveau de protection adéquat des données personnelles.

  • Vercel Inc. — hébergement de l'application web (Next.js) — région Francfort, Union européenne.
  • Railway Corporation — hébergement du serveur API et de la base de données PostgreSQL — région Union européenne.
  • Stripe Payments Europe Ltd. — traitement des paiements de l'Abonnement Pro — Dublin, Irlande (UE).
  • Cloudinary — CDN pour les images, photos et avatars — États-Unis (transfert hors UE, voir article 5).
  • OneSignal — diffusion des notifications push — États-Unis (transfert hors UE, voir article 5).
  • PostHog EU — mesure d'audience et analytics produit — Francfort, Union européenne.
  • Brevo — synchronisation des consentements marketing et envoi des emails marketing — France, Union européenne.
  • Google LLC — authentification OAuth et services Google Places (autocomplétion d'adresses) — États-Unis (transfert hors UE, voir article 5).

5. Transferts hors UE / Suisse

Certains de nos sous-traitants sont établis hors de l'Espace économique européen et hors de Suisse, notamment Cloudinary, OneSignal et Google LLC (États-Unis).

Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne au sens de l'article 46 RGPD, complétées le cas échéant par des mesures techniques et organisationnelles supplémentaires. Pour les transferts depuis la Suisse, ces clauses sont reconnues par le Préposé fédéral à la protection des données et à la transparence (PFPDT) comme offrant un niveau de protection adéquat, conformément aux exigences de la nLPD (art. 16 nLPD).

Vous pouvez obtenir une copie des garanties mises en place en écrivant à jeremie@broco-app.com.

6. Durées de conservation

Les durées de conservation appliquées par BROCO sont les suivantes :

  • Données de Compte : pendant toute la durée d'activité du Compte. À la suppression du Compte, les données identifiantes sont supprimées ou anonymisées sous trente (30) jours, à l'exception des informations nécessaires au respect d'obligations légales (notamment comptables) qui sont conservées jusqu'à trois (3) ans après la suppression.
  • Données de facturation et abonnement : dix (10) ans à compter de l'émission, conformément aux obligations comptables suisses (art. 958f CO).
  • Logs techniques : douze (12) mois à compter de leur génération.
  • Messages échangés entre Utilisateurs : vingt-quatre (24) mois à compter de la dernière activité sur le fil de messages.
  • Consentements : jusqu'au retrait ; l'historique de retrait est conservé à titre de preuve pendant trois (3) ans.
  • Données de mesure d'audience (PostHog) : treize (13) mois maximum.

7. Vos droits

Conformément à la nLPD et au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir confirmation que des données vous concernant sont traitées et en obtenir copie (art. 25 nLPD, art. 15 RGPD).
  • Droit de rectification : obtenir la correction de données inexactes (art. 32 al. 1 nLPD, art. 16 RGPD).
  • Droit d'effacement (« droit à l'oubli ») : obtenir la suppression de vos données sous réserve des obligations légales applicables (art. 32 al. 2 nLPD, art. 17 RGPD).
  • Droit à la limitation du traitement (art. 18 RGPD).
  • Droit à la portabilité de vos données dans un format structuré, couramment utilisé et lisible par machine (art. 28 nLPD, art. 20 RGPD).
  • Droit d'opposition au traitement, notamment au profilage et au marketing direct (art. 30 nLPD, art. 21 RGPD).
  • Droit de retirer votre consentement à tout moment, sans que cela n'affecte la licéité des traitements effectués avant le retrait (art. 7 RGPD).
  • Droit d'introduire une réclamation auprès d'une autorité de contrôle : le Préposé fédéral à la protection des données et à la transparence (PFPDT, www.edoeb.admin.ch) pour la Suisse, ou l'autorité de contrôle compétente de votre lieu de résidence pour l'UE (CNIL en France, etc.).

Exercice des droits

Pour exercer ces droits, adressez votre demande à jeremie@broco-app.com en précisant l'identifiant du Compte concerné. BROCO s'engage à répondre dans un délai de trente (30) jours à compter de la réception de la demande, prolongeable de soixante (60) jours supplémentaires en cas de demande complexe (art. 12.3 RGPD).

BROCO peut être amenée à vous demander un justificatif d'identité en cas de doute raisonnable sur l'identité du demandeur, afin d'éviter toute communication abusive de données personnelles à un tiers.

8. Sécurité

BROCO met en œuvre des mesures techniques et organisationnelles raisonnables pour protéger les données personnelles, notamment :

  • Chiffrement TLS (HTTPS) pour toutes les communications entre la Plateforme et les utilisateurs ;
  • Hashage cryptographique des mots de passe via l'algorithme scrypt (les mots de passe ne sont jamais stockés en clair) ;
  • Contrôle d'accès basé sur des rôles côté serveur (autorisations différenciées Inscrit / Producteur / administration) ;
  • Sauvegardes régulières et chiffrées de la base de données ;
  • Mise à jour régulière des dépendances logicielles et des correctifs de sécurité.

9. Cookies et traceurs

La Plateforme utilise un nombre limité de cookies et identifiants techniques pour fonctionner et améliorer l'expérience utilisateur.

  • Cookies essentiels (session, authentification, préférence de langue) : indispensables au fonctionnement de la Plateforme, ils ne nécessitent pas de consentement.
  • Cookies et identifiants de mesure d'audience (PostHog EU) : utilisés pour comprendre l'usage de la Plateforme et l'améliorer. Ces données sont hébergées à Francfort (UE).

Transparence technique

L'instrumentation PostHog est activée pour tout utilisateur de la Plateforme, dès l'acceptation des Conditions générales et de la présente Politique. Les données collectées (événements d'usage, enregistrements de session) sont utilisées exclusivement pour comprendre l'usage du service, en améliorer la qualité et corriger les défauts. Elles ne sont jamais utilisées à des fins marketing ni transmises à des tiers à des fins commerciales.

Vous pouvez vous opposer à la mesure d'audience en désactivant les cookies tiers dans votre navigateur ou en nous adressant une demande à jeremie@broco-app.com.

10. Mineurs

La Plateforme est accessible aux personnes âgées d'au moins seize (16) ans. BROCO ne collecte pas sciemment de données personnelles concernant des enfants de moins de 16 ans. Si nous apprenons qu'un Compte a été créé par un mineur de moins de 16 ans, nous procéderons à sa suppression dans les meilleurs délais.

11. Décisions automatisées

BROCO ne met en œuvre aucune décision automatisée, au sens de l'article 22 RGPD et de l'article 21 nLPD, produisant des effets juridiques à l'égard des utilisateurs ou les affectant de manière significative de façon similaire.

12. Modifications de la présente politique

BROCO se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment afin de tenir compte des évolutions législatives, jurisprudentielles ou techniques.

Toute modification substantielle sera notifiée aux utilisateurs par tout moyen utile (notification dans la Plateforme, courriel) avant son entrée en vigueur.

13. Contact

Pour toute question relative au traitement de vos données personnelles ou à la présente politique, vous pouvez nous écrire à : jeremie@broco-app.com.

Dernière mise à jour : 15 mai 2026