Politique de confidentialité
Dernière mise à jour : 24 février 2026 — Version 2.0
1. Identité du responsable du traitement
Le responsable du traitement des données pour cette plateforme est :
- Entité : Crush.lu (en cours de constitution)
- Adresse : 10 rue des Bons Malades, L-6462 Echternach, Luxembourg
- Contact protection des données : privacy@crush.lu
- Autorité de contrôle : Commission nationale pour la protection des données (CNPD), 15 Boulevard du Jazz, L-4370 Belvaux, Luxembourg
Cette politique de confidentialité s'applique à la version 2.0 de nos conditions. Vos enregistrements de consentement font référence à ce numéro de version pour la traçabilité.
2. Portée
Cette politique couvre toutes les données personnelles traitées via le site web Crush.lu, l'application web progressive (PWA) et les services associés.
Crush.lu utilise une architecture à deux niveaux :
- Compte PowerUp : Votre couche d'identité — e-mail, nom et identifiants d'authentification. Ce compte peut être partagé avec d'autres plateformes que nous exploitons.
- Profil Crush.lu : Votre profil de rencontres — photos, biographie, centres d'intérêt, historique d'événements et connexions. Ces données sont spécifiques à Crush.lu et soumises à un consentement séparé.
Chaque niveau nécessite un consentement séparé et explicite. Vous pouvez supprimer votre profil Crush.lu tout en conservant votre compte PowerUp, ou tout supprimer.
3. Données que nous collectons
3.1 Données d'identité
Lorsque vous créez un compte, nous collectons :
- Adresse e-mail et nom d'utilisateur
- Prénom et nom de famille
- Date de naissance (pour vérifier que vous avez 18 ans ou plus et pour l'affichage de l'âge)
- Mot de passe (stocké sous forme de hachage salé — nous ne stockons jamais votre mot de passe en clair)
3.2 Données de connexion sociale
Si vous vous inscrivez ou vous connectez via Google, Facebook, Microsoft ou LinkedIn, nous recevons :
- Vos informations de profil public (nom, e-mail, photo de profil)
- Identifiant utilisateur spécifique au fournisseur
- Toute information supplémentaire que vous autorisez le fournisseur à partager
Pendant le flux OAuth, nous stockons temporairement un enregistrement OAuthState contenant votre adresse IP et votre agent utilisateur à des fins de vérification de sécurité. Cet enregistrement expire automatiquement après 10 minutes.
3.3 Données de profil
Lorsque vous créez votre profil Crush.lu, nous collectons :
- Genre — homme, femme, non-binaire, autre ou préfère ne pas préciser
- Numéro de téléphone — vérifié via un mot de passe à usage unique (OTP) par SMS Firebase
- Localisation — votre ville ou région au Luxembourg
- Bio — une courte description de vous-même (jusqu'à 500 caractères)
- Centres d'intérêt — vos loisirs et centres d'intérêt
- Recherche — amis, rencontres, les deux ou réseautage
- Préférences linguistiques — langue d'interface préférée et langues parlées lors des événements
- Photos — jusqu'à 3 photos de profil, stockées dans un conteneur Azure Blob Storage privé avec des jetons d'accès à durée limitée (voir Section 13)
- Options de confidentialité — vos choix pour : afficher le nom complet ou le prénom uniquement, afficher l'âge exact ou une tranche d'âge, flouter les photos jusqu'à intérêt mutuel
- Données de brouillon — si vous enregistrez un profil partiellement complété, nous stockons temporairement votre progression
3.4 Données d'examen par le coach
Tous les profils sont examinés par des Crush Coaches autorisés avant approbation. Lors de l'examen, les données suivantes sont créées :
- Statut de soumission du profil (en attente, approuvé, rejeté, révision demandée, recontacter le coach)
- Notes du coach (internes, non visibles pour vous)
- Retour d'information qui vous est communiqué
- Dossiers d'appel de présélection : si un appel a eu lieu, date, notes et liste de vérification structurée
- Journaux des tentatives d'appel : date, résultat (succès, pas de réponse, messagerie vocale, mauvais numéro, utilisateur occupé, rappel programmé) et notes
- Dossiers de session de coach : type de session (intégration, retour, orientation, suivi), notes et informations de planification
3.5 Données d'événement
Lorsque vous vous inscrivez à des événements ou y participez, nous collectons :
- Détails d'inscription : événement, statut (en attente, confirmé, liste d'attente, annulé, présent, absent)
- Besoins d'accessibilité et restrictions alimentaires (le cas échéant)
- Informations sur l'invité : si vous amenez un invité, nom de l'invité
- Demandes spéciales
- Statut et date de paiement (pour les événements payants)
- Données d'enregistrement : jeton QR signé et horodatage d'enregistrement
- Invitations à des événements : e-mail de l'invité, nom, statut de l'invitation, notes d'approbation du coach
- Vote d'activité et évaluations de présentation (les évaluations sont anonymes pour les autres utilisateurs)
- Attributions de paires de speed dating et données de tours
3.6 Données de connexions et de messagerie
Après avoir participé à un événement, vous pouvez demander des connexions avec d'autres participants :
- Demandes de connexion : personne demandée, votre note (jusqu'à 300 caractères), statut
- Indicateurs de consentement bilatéral : les deux parties doivent consentir avant que les coordonnées ne soient partagées
- Médiation du coach : coach assigné, notes du coach, messages d'introduction personnalisés
- Messages : texte (jusqu'à 500 caractères), expéditeur, horodatages, accusés de réception
- Indicateurs de modération du coach sur les messages
3.7 Données Crush Spark
Crush Spark est notre fonctionnalité d'admirateur anonyme. Si vous envoyez ou recevez un Spark, nous traitons :
- Description anonyme de la personne qui vous a plu (texte uniquement, examinée par un coach)
- Fichiers médias : photos (jusqu'à 5 images de diaporama), message vidéo, fichier audio
- Message personnel révélé uniquement lorsque le destinataire termine le Chapitre 6 du parcours
- Statut et horodatage de la révélation d'identité
- Attribution du coach et notes
L'identité de l'expéditeur reste anonyme jusqu'à ce que le destinataire termine le parcours complet. Une fois livré, un Spark ne peut pas être retiré.
3.8 Données Journey et calendrier de l'Avent
Les parcours interactifs (Wonderland, calendriers de l'Avent, expériences personnalisées) impliquent :
- Suivi de la progression : chapitre actuel, points gagnés, temps passé
- Réponses aux défis : vos réponses aux énigmes, quiz et questions ouvertes
- Soumissions de médias : photos, vidéo et audio téléchargés dans le cadre des défis
- Données de personnalisation : date de première rencontre, lieu de première rencontre (fournis par le créateur du parcours)
- Statut d'achèvement et réponse finale
- Progression du calendrier de l'Avent : portes ouvertes, scans de codes QR, horodatages des visites
3.9 Données Wallet et fidélité
Si vous ajoutez votre pass Crush.lu à Apple Wallet ou Google Wallet :
- Apple Wallet : numéro de série du pass, jeton d'authentification, identifiant de bibliothèque d'appareil, jeton push APNS
- Google Wallet : identifiant d'objet wallet, identifiants d'objets de billets d'événement
- Votre choix d'afficher ou non votre photo sur le pass wallet
Si vous participez à notre programme de parrainage :
- Codes de parrainage générés pour votre profil
- Attributions de parrainage : adresse IP, agent utilisateur, chemin de la page d'atterrissage, identifiant de session, statut de conversion
- Points de parrainage et niveau d'adhésion (basic, bronze, silver, gold)
3.10 Données de notification
Pour envoyer des notifications, nous collectons :
- Notifications push : URL du point de terminaison d'abonnement, clés de chiffrement (p256dh, auth), empreinte de l'appareil, agent utilisateur, nom de l'appareil
- Préférences e-mail : indicateurs d'inscription/désinscription par catégorie (mises à jour de profil, rappels d'événements, connexions, messages, newsletter, marketing), jeton de désinscription
- Préférences de notification : les types de notifications push que vous souhaitez recevoir (messages, événements, connexions, mises à jour de profil)
3.11 Données d'appareil et d'activité
- Suivi d'activité : horodatage de dernière visite, dernière visite PWA, nombre total de visites, horodatage de première visite
- Installation PWA : empreinte de l'appareil, système d'exploitation, facteur de forme (téléphone, tablette, ordinateur), nom du navigateur, chaîne d'agent utilisateur complète, horodatages d'installation et de dernière utilisation
- Réengagement : dernier e-mail de rappel envoyé, nombre total de rappels envoyés
3.12 Registres de consentement
Nous conservons des registres détaillés de votre consentement conformément au RGPD :
- Consentement à deux niveaux : enregistrements séparés pour le compte PowerUp et le profil Crush.lu, chacun avec adresse IP, horodatage et version des conditions acceptée
- Consentement marketing : inscription séparée avec horodatage
- Enregistrements de bannissement : le cas échéant, date et motif du bannissement (suppression par l'utilisateur, action administrative, violation des conditions)
4. Comment nous utilisons vos données
Le tableau suivant décrit comment nous utilisons vos données et notre base juridique en vertu de l'article 6 du RGPD :
| Finalité | Base juridique (Art. 6) | Catégories de données |
|---|---|---|
| Création et gestion de compte | Exécution du contrat (Art. 6(1)(b)) | Identité, authentification |
| Examen du profil par les coaches | Intérêt légitime (Art. 6(1)(f)) — sécurité des utilisateurs | Profil, photos, notes du coach |
| Organisation et inscription aux événements | Exécution du contrat (Art. 6(1)(b)) | Inscription aux événements, régime alimentaire, accessibilité |
| Connexions facilitées par le coach | Contrat (Art. 6(1)(b)) + Consentement (Art. 6(1)(a)) | Demandes de connexion, messages, indicateurs de consentement |
| Crush Spark et parcours | Consentement (Art. 6(1)(a)) | Descriptions Spark, médias, réponses de parcours |
| Algorithme d'appariement de speed dating | Exécution du contrat (Art. 6(1)(b)) | Inscription, genre, évaluations |
| Notifications push | Consentement (Art. 6(1)(a)) | Abonnement push, données d'appareil |
| Pass wallet | Consentement (Art. 6(1)(a)) | Identifiants wallet, jetons d'appareil |
| E-mails transactionnels | Intérêt légitime (Art. 6(1)(f)) | E-mail, préférences de notification |
| Communications marketing | Consentement (Art. 6(1)(a)) | E-mail, consentement marketing |
| Analyse et amélioration | Intérêt légitime (Art. 6(1)(f)) | Données d'activité, données d'appareil (côté serveur uniquement) |
| Prévention de la fraude et sécurité | Intérêt légitime (Art. 6(1)(f)) | Adresses IP, registres de consentement, registres de bannissement |
| Conformité légale | Obligation légale (Art. 6(1)(c)) | Registres de consentement, données d'identité |
| Programme de parrainage | Intérêt légitime (Art. 6(1)(f)) | Codes de parrainage, données d'attribution |
5. Prise de décision automatisée (Art. 22)
Notre algorithme d'appariement de speed dating utilise les données d'inscription (genre, âge) pour créer des paires par tour et identifier les meilleurs matchs basés sur les évaluations mutuelles. Ce traitement ne produit pas d'effets juridiques ou d'effets significatifs similaires — il détermine uniquement les paires de conversation lors d'un événement auquel vous avez déjà choisi de participer.
Toutes les approbations de profils sont effectuées par des coaches humains, et non par des systèmes automatisés. Nous n'utilisons pas le profilage à des fins de marketing ou de publicité.
6. Partage des données
6.1 Avec les Crush Coaches
Nos Crush Coaches autorisés peuvent accéder à :
- Vos informations de profil, photos, biographie et centres d'intérêt (pour examen et approbation)
- Vos inscriptions aux événements et votre historique de participation
- Demandes de connexion vous concernant (pour médiation)
- Messages échangés via les connexions (pour modération)
Les coaches ne peuvent pas voir : votre mot de passe, vos adresses IP brutes, les empreintes de vos appareils, vos préférences e-mail ou vos données techniques d'abonnement push.
6.2 Avec les autres utilisateurs
Ce que les autres utilisateurs peuvent voir est contrôlé par vos paramètres de confidentialité :
- Nom affiché : votre nom complet ou votre prénom uniquement (contrôlé par votre paramètre « Afficher le nom complet »)
- Âge : votre âge exact ou une tranche d'âge (contrôlé par votre paramètre « Afficher l'âge exact »)
- Photos : nettes ou floues (contrôlé par votre paramètre « Flouter les photos », désactivé lors d'un intérêt mutuel)
- Les coordonnées ne sont partagées qu'après consentement bilatéral et approbation du coach via notre système de connexion
Les descriptions Crush Spark sont anonymes. L'identité de l'expéditeur n'est révélée que lorsque le destinataire termine le parcours complet.
6.3 Sous-traitants
Nous partageons des données avec les prestataires de services tiers suivants :
| Fournisseur | Finalité | Localisation |
|---|---|---|
| Microsoft Azure (Europe de l'Ouest) | Hébergement, base de données, stockage de fichiers | UE (Pays-Bas) |
| Microsoft Graph API | Envoi d'e-mails | UE |
| Azure Application Insights | Surveillance des erreurs côté serveur (échantillonnage de 5%, pas de données personnelles) | UE (Europe de l'Ouest) |
| Firebase (Google) | Vérification téléphonique par SMS (OTP) | UE + États-Unis |
| Google OAuth | Connexion sociale | États-Unis (DPF) |
| Facebook/Meta OAuth | Connexion sociale | États-Unis (DPF) |
| Microsoft OAuth | Connexion sociale | États-Unis (DPF) |
| LinkedIn OAuth | Connexion sociale | États-Unis (DPF) |
| Apple PassKit (APNS) | Livraison et mises à jour des pass Apple Wallet | États-Unis (DPF) |
| Google Wallet API | Livraison des pass Google Wallet | États-Unis (DPF) |
6.4 Exigences légales
Nous pouvons divulguer vos données personnelles si la loi l'exige, par ordonnance judiciaire ou demande réglementaire, ou pour protéger les droits, la propriété ou la sécurité de Crush.lu, de nos utilisateurs ou d'autres personnes.
7. Transferts internationaux
Vos données sont principalement traitées et stockées au sein de l'Union européenne, sur des serveurs Microsoft Azure dans la région Europe de l'Ouest (Pays-Bas).
Certaines données sont transférées aux États-Unis via les mécanismes suivants :
- Fournisseurs OAuth (Google, Facebook, Microsoft, LinkedIn) : Décision d'adéquation du cadre de protection des données UE-États-Unis (DPF)
- Apple PassKit et Google Wallet : Décision d'adéquation du cadre de protection des données UE-États-Unis (DPF)
- Firebase : Décision d'adéquation DPF + Clauses contractuelles types (CCT)
Aucune donnée n'est transférée vers des pays ne disposant pas d'un niveau adéquat de protection des données, sauf si des garanties appropriées sont en place.
8. Conservation des données
Nous conservons vos données pendant les périodes suivantes :
| Type de données | Période de conservation |
|---|---|
| Données du compte actif | Durée du compte |
| Données de profil supprimées | Suppression immédiate (photos sous 7 jours, sauvegardes sous 90 jours) |
| Notes d'examen du coach | 1 an après la fin de l'examen |
| Dossiers d'événements | 2 ans après l'événement |
| Messages | Supprimés avec le compte |
| Enregistrements d'état OAuth | 10 minutes (expiration automatique) |
| Abonnements push | Jusqu'à désinscription ou 90 jours d'inactivité |
| Registres de consentement | 5 ans après le retrait |
| Télémétrie Application Insights | 90 jours |
| Attributions de parrainage | 2 ans après la création |
| Données de brouillon de profil | Jusqu'à la date d'expiration du brouillon (définie à la création) |
| Analyses anonymisées | Conservées indéfiniment |
9. Vos droits (Articles 15–22 RGPD)
Conformément au RGPD et à la loi luxembourgeoise sur la protection des données, vous disposez des droits suivants :
- Droit d'accès (Art. 15) : Demander une copie de vos données personnelles. Vous pouvez exporter vos données directement depuis les paramètres de votre compte.
- Droit de rectification (Art. 16) : Corriger les informations inexactes ou incomplètes en modifiant votre profil.
- Droit à l'effacement (Art. 17) : Demander la suppression de vos données. Vous pouvez supprimer uniquement votre profil Crush.lu (en conservant votre compte PowerUp) ou tout supprimer. Utilisez la page Gestion des données dans les paramètres de votre compte.
- Droit à la limitation (Art. 18) : Demander que nous limitions la manière dont nous traitons vos données.
- Droit à la portabilité des données (Art. 20) : Recevoir vos données dans un format JSON structuré et lisible par machine via la fonctionnalité d'export de données dans les paramètres de votre compte.
- Droit d'opposition (Art. 21) : Vous opposer au traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement (Art. 7(3)) : Retirer votre consentement pour tout traitement fondé sur le consentement à tout moment, sans affecter la licéité du traitement effectué avant le retrait.
Pour exercer l'un de ces droits, contactez-nous à privacy@crush.lu ou utilisez les outils de gestion des données intégrés dans les paramètres de votre compte.
Si vous estimez que vos droits ont été violés, vous avez le droit de déposer une plainte auprès de la CNPD :
- Commission nationale pour la protection des données
- 15 Boulevard du Jazz, L-4370 Belvaux, Luxembourg
- Site web : https://cnpd.public.lu
10. Cookies et stockage local
Nous utilisons les cookies et le stockage de navigateur suivants :
| Nom | Type | Finalité | Catégorie |
|---|---|---|---|
sessionid |
Cookie | Session d'authentification | Essentiel |
csrftoken |
Cookie | Protection contre la falsification de requête intersites | Essentiel |
django_language |
Cookie | Préférence linguistique | Préférence |
theme |
localStorage | Préférence de mode sombre/clair | Préférence |
Nous n'utilisons aucun cookie de suivi tiers. Nous n'utilisons pas Google Analytics. Notre surveillance côté serveur (Application Insights) fonctionne avec un taux d'échantillonnage de 5% et ne collecte pas d'informations personnellement identifiables depuis votre navigateur.
Vous pouvez contrôler les cookies via les paramètres de votre navigateur. La désactivation des cookies essentiels vous empêchera de vous connecter.
11. Confidentialité des enfants
Crush.lu est strictement destiné aux utilisateurs âgés de 18 ans et plus. Nous vérifions votre âge par votre date de naissance lors de l'inscription. Nous ne collectons pas sciemment de données personnelles de personnes de moins de 18 ans.
Si nous découvrons qu'un utilisateur a moins de 18 ans, nous supprimerons immédiatement son compte et toutes les données associées. Si vous apprenez qu'un mineur a créé un compte, veuillez nous contacter immédiatement à privacy@crush.lu.
12. Notification de violation de données
En cas de violation de données personnelles, nous :
- Notifierons la CNPD dans les 72 heures suivant la prise de connaissance de la violation (Article 33 RGPD)
- Notifierons les utilisateurs concernés sans retard injustifié si la violation est susceptible d'entraîner un risque élevé pour vos droits et libertés (Article 34 RGPD)
- Documenterons la violation, ses effets et les mesures correctives prises
13. Sécurité des photos
Vos photos de profil bénéficient d'une protection renforcée :
- Les photos sont stockées dans un conteneur Azure Blob Storage privé — elles ne sont pas accessibles publiquement
- L'accès est accordé via des jetons Shared Access Signature (SAS) à durée limitée qui expirent après 30 minutes
- Chaque photo est stockée sous un chemin spécifique à l'utilisateur avec un nom de fichier aléatoire
- La fonctionnalité de flou vous permet de masquer vos photos jusqu'à ce qu'un intérêt mutuel soit établi
- Les fichiers médias des parcours et de Crush Spark bénéficient du même traitement de stockage privé
14. Modifications de cette politique
Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Pour les modifications substantielles, nous :
- Fournirons un préavis d'au moins 30 jours avant l'entrée en vigueur des modifications
- Vous demanderons de reconfirmer votre consentement via notre système de consentement avant de continuer à utiliser la plateforme
- Mettrons à jour le numéro de version et la date de « Dernière mise à jour » en haut de cette page
Votre utilisation continue de Crush.lu après avoir reconfirmé votre consentement constitue l'acceptation de la politique mise à jour.
15. Contact
Si vous avez des questions sur cette politique de confidentialité ou souhaitez exercer vos droits en matière de protection des données :
- Contact protection des données : privacy@crush.lu
- Support général : support@crush.lu
- Adresse : Crush.lu, 10 rue des Bons Malades, L-6462 Echternach, Luxembourg
Autorité de contrôle :
- Commission nationale pour la protection des données (CNPD)
- 15 Boulevard du Jazz, L-4370 Belvaux, Luxembourg
- Site web : https://cnpd.public.lu
En utilisant Crush.lu, vous acceptez cette politique de confidentialité et nos Conditions d'utilisation.
Retour à l'accueil