Politique de confidentialité

Dernière mise à jour : 9 avril 2026 · v1.0

Version 1.0 — en vigueur depuis le 9 avril 2026. Loviam traite vos données dans le respect du Règlement général sur la protection des données (RGPD, UE 2016/679) et de la loi Informatique et Libertés. Cette politique est rédigée en langage clair, conformément aux recommandations de la CNIL.

1. Responsable du traitement

Le responsable du traitement des données personnelles est Éric Mollenthiel, éditeur du site Loviam, joignable à l'adresse contact@loviam.com.

Conformément à l'article 6-III-2 de la loi LCEN, les coordonnées postales et téléphoniques complètes du responsable sont communiquées à notre hébergeur OVH SAS et peuvent être obtenues sur réquisition légitime. Pour toute question RGPD, écrivez-nous à cette adresse ou via le formulaire de contact ; nous répondons dans un délai maximum d'un mois.

2. Données que nous collectons

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service :

  • Compte : adresse e-mail, mot de passe chiffré, date de création, date de dernière connexion
  • Profil : prénom (ou pseudo), date de naissance, genre, photos, biographie, ville de résidence
  • Préférences de recherche : genre(s) recherché(s), tranche d'âge, distance maximale
  • Localisation : latitude et longitude associées à votre ville (elles ne sont jamais exposées précisément aux autres utilisateurs, seule une distance arrondie est affichée)
  • Interactions : likes, dislikes, super-likes, matchs, messages échangés, signalements
  • Portefeuille publicitaire : nombre de tokens gagnés et dépensés (visionnage de pubs vidéo récompensées)
  • Données techniques : adresse IP, user-agent, jetons de notification push (si vous les acceptez), logs de connexion

3. Données sensibles (article 9 RGPD)

Certaines données que nous traitons sont considérées comme « sensibles » au sens de l'article 9 du RGPD. Leur traitement repose sur votre consentement explicite, que vous pouvez retirer à tout moment en supprimant votre compte.

  • Orientation sexuelle (déduite) : vos préférences de recherche (genre recherché par rapport à votre propre genre) peuvent révéler votre orientation. Ces données ne sont jamais vendues, ni partagées avec des tiers à des fins publicitaires.
  • Géolocalisation précise : nécessaire au calcul de la distance entre profils. Elle reste stockée côté serveur uniquement et n'est jamais exposée en clair dans l'application.

4. Finalités et bases légales

Chaque traitement a une finalité précise et une base légale clairement identifiée :

  • Création et gestion de compte — exécution du contrat (art. 6.1.b)
  • Mise en relation et matching — exécution du contrat (art. 6.1.b) et consentement explicite pour les données sensibles (art. 9.2.a)
  • Messagerie entre utilisateurs — exécution du contrat (art. 6.1.b)
  • Modération et prévention des abus — intérêt légitime (art. 6.1.f) et obligation légale (art. 6.1.c)
  • Notifications push — consentement (art. 6.1.a), révocable à tout moment depuis votre navigateur
  • Portefeuille de tokens publicitaires — exécution du contrat (art. 6.1.b)
  • Conservation des logs techniques — obligation légale LCEN (art. 6.1.c)

5. Qui voit vos données ?

  • Les autres utilisateurs : voient votre prénom, votre âge, vos photos, votre biographie et une distance arrondie en kilomètres. Ils ne voient jamais votre e-mail, votre position précise, votre date de naissance exacte ni votre adresse IP.
  • L'éditeur (Éric Mollenthiel) : accède aux données strictement nécessaires à la modération, au support et à la sécurité du service.
  • Les autorités compétentes : uniquement en cas de réquisition judiciaire valide.

Loviam ne vend, ne loue et ne partage jamais vos données personnelles à des tiers à des fins publicitaires ou commerciales.

6. Nos sous-traitants

Pour fonctionner, Loviam s'appuie sur les prestataires suivants, sélectionnés pour leurs garanties en matière de protection des données :

  • OVH SAS (France, UE) — hébergement du serveur applicatif, de la base de données PostgreSQL et des photos de profil. Toutes les données sont stockées en France.
  • OVH Mail Plan (France, UE) — service de messagerie utilisé pour l'envoi des e-mails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, notifications).
  • Cloudflare, Inc. (États-Unis) — réseau de distribution et pare-feu applicatif (protection contre les bots et attaques). Cloudflare traite en transit vos adresses IP et les métadonnées de vos requêtes HTTP. Transfert hors UE : Cloudflare est adhérent au EU-U.S. Data Privacy Framework et applique les clauses contractuelles types de la Commission européenne, garantissant un niveau de protection équivalent à celui du RGPD.
  • Google Search Console (Google Ireland Ltd., UE) — outil utilisé uniquement pour suivre le référencement des pages publiques. Aucune donnée personnelle d'utilisateur connecté n'est transmise.

Aucun autre service tiers (analytics, publicité comportementale, CRM, push managé) n'est utilisé. Le hub Mercure (notifications temps réel) et le serveur de notifications Web Push (VAPID) sont auto-hébergés sur notre propre serveur OVH ; aucun tiers n'a accès aux messages.

7. Durées de conservation

  • Compte actif : tant que vous utilisez le service
  • Compte inactif depuis plus de 2 ans : e-mail d'avertissement puis suppression automatique 30 jours plus tard
  • Compte supprimé : période de récupération de 30 jours, puis effacement définitif
  • Messages : conservés tant que les deux utilisateurs d'une conversation ont un compte actif
  • Logs de connexion et adresses IP : 12 mois maximum (obligation LCEN)
  • Signalements et décisions de modération : 1 an après traitement

8. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :

  • Droit d'accès — obtenir une copie de toutes vos données
  • Droit de rectification — corriger des données inexactes
  • Droit à l'effacement — supprimer votre compte et vos données
  • Droit à la limitation — geler temporairement certains traitements
  • Droit à la portabilité — télécharger vos données dans un format structuré (JSON)
  • Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime
  • Droit de retrait du consentement — à tout moment, sans affecter la licéité des traitements antérieurs
  • Directives post-mortem — définir le sort de vos données après votre décès

Pour exercer ces droits, écrivez-nous à contact@loviam.com ou utilisez le formulaire de contact. Une bonne partie de ces droits est également accessible directement dans votre espace personnel (export JSON, suppression en un clic).

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.

9. Cookies et traceurs

Loviam utilise uniquement des cookies strictement nécessaires, exemptés de consentement (délibération CNIL n° 2020-091) :

  • PHPSESSID — cookie de session PHP (durée : session du navigateur)
  • Jeton CSRF — protection anti-falsification des requêtes (durée : session)
  • Cookies techniques Cloudflare (cf_clearance, __cf_bm) — utilisés uniquement pour la détection de bots et la sécurité, exemptés de consentement

Aucun cookie publicitaire, aucun cookie analytique tiers, aucun traceur comportemental n'est déposé sur votre appareil.

10. Mineurs

Le service Loviam est strictement réservé aux personnes majeures (18 ans et plus). Nous ne collectons pas sciemment de données concernant des mineurs. Si nous apprenons qu'un mineur s'est inscrit, son compte est supprimé et ses données effacées immédiatement.

Si vous êtes parent ou tuteur et pensez qu'un mineur utilise notre service, contactez-nous à contact@loviam.com.

11. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes, proportionnées aux risques :

  • Hachage des mots de passe avec un algorithme moderne (Argon2id ou équivalent, choisi automatiquement par Symfony)
  • Connexion chiffrée HTTPS/TLS sur l'ensemble du site
  • Protection CSRF sur tous les formulaires sensibles
  • Pare-feu applicatif Cloudflare contre les attaques et les bots
  • Géolocalisation jamais exposée au client : seule une distance arrondie est transmise
  • Sauvegardes régulières de la base de données
  • Accès administrateur limité au responsable du traitement

12. Modifications de cette politique

Cette politique peut évoluer pour refléter des changements techniques, légaux ou fonctionnels. En cas de modification substantielle affectant vos droits, nous vous informerons par e-mail ou par une notification dans l'application au moins 15 jours avant l'entrée en vigueur des changements.

La date de la dernière mise à jour et le numéro de version figurent en haut de cette page. La poursuite de l'utilisation du service après modification vaut acceptation de la nouvelle politique.