Dernière mise à jour : 2026-07-07
Politique de confidentialité — Tivera
Version : 2.1 — DRAFT pré-Play Store v1.0 (modèle Free + Premium) Date d'effet : 2026-07-07 Langue de référence : français — juridiction du responsable : Maroc (Loi 09-08, autorité CNDP ; RGPD applicable à titre extraterritorial — Art. 3.2 — pour les utilisateurs résidant dans l'UE/EEE/UK) Éditeur : Mitchou, particulier de droit marocain (éditeur indépendant). Adresse : Tralles, rue Essanaouabar, Casablanca, Maroc.
⚠️ Brouillon à valider par un avocat (protection des données : Loi 09-08 / CNDP + RGPD/ePrivacy) avant publication ferme. La version française fait foi ; les autres langues sont des traductions de courtoisie.
TL;DR
Tivera est un lecteur IPTV BYOC (Bring Your Own Content) sur Android (mobile + TV). Tu importes tes propres flux (M3U / Xtream Codes / EPG XMLTV) ; aucun contenu n'est hébergé par nous.
- Données personnelles collectées à des fins commerciales : aucune. Pas de revente, pas de courtage de données.
- Télémétrie de diagnostic (rapports de plantage + statistiques d'usage anonymisées + journal de performance) : envoyée uniquement vers notre propre serveur auto-hébergé (
api.tivera.tv), jamais vers un tiers. Firebase Crashlytics et Firebase Analytics ont été retirés — plus aucun crash ni analytics envoyé à Google. Hors UE/EEE/UK, ce canal est actif par défaut (intérêt légitime) et désactivable à tout moment (Réglages → Confidentialité → Données de diagnostic). En UE/EEE/UK, il reste désactivé jusqu'à ton consentement explicite. - Partage avec des tiers : uniquement Google AdMob (mode Free : publicités, identifiant publicitaire AAID) et Google Play Billing (mode Premium : paiement de l'abonnement). La synchronisation cloud Premium (profils/favoris/historique) va vers notre serveur auto-hébergé, pas un tiers.
- Stockage local chiffré : SQLCipher AES-256 + Google Tink AEAD (identifiants Xtream).
- Zéro compte requis pour lire tes flux. Un compte n'est nécessaire que pour Premium / la synchronisation cloud / la gestion des appareils.
1. Responsable du traitement (RGPD Art. 13.1.a)
| Champ | Valeur |
|---|---|
| Éditeur | Mitchou (particulier de droit marocain, éditeur indépendant) |
| Nom commercial de l'app | Tivera |
| Package Android | com.mitchou.tivera |
| Email contact général | contact@tivera.tv |
| Email confidentialité | privacy@tivera.tv |
| Email DMCA | dmca@tivera.tv (cf. Politique DMCA) |
| Adresse postale | Tralles, rue Essanaouabar, Casablanca, Maroc |
| DPO formel | Non requis (RGPD Art. 37 : éditeur indépendant, < 250 employés, pas de traitement à grande échelle de données sensibles) |
| Représentant dans l'UE (RGPD Art. 27) | En cours de désignation avant le déploiement grand public dans l'UE. Dans l'intervalle, les résidents UE/EEE exercent tous leurs droits directement auprès de l'Éditeur à privacy@tivera.tv ; les coordonnées du représentant seront publiées ici et dans l'app dès sa désignation. |
| Juridiction applicable | Maroc — Loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, sous le contrôle de la CNDP. RGPD (UE 2016/679) applicable à titre extraterritorial (Art. 3.2) pour les utilisateurs de l'UE/EEE/UK. |
Délai de réponse engagé à toute requête RGPD / CCPA : 30 jours (RGPD Art. 12.3) / 45 jours (CCPA).
2. Nature de l'application (RGPD Art. 13.1.c)
Tivera est un lecteur IPTV générique BYOC distribué via Google Play Store (et téléchargement direct de l'APK).
2.1 Ce que Tivera EST
- Un lecteur de flux multimédia (vidéo / audio) que tu apportes toi-même.
- Un organisateur local de tes sources (URL M3U, identifiants Xtream Codes API, URL EPG XMLTV).
- Un outil de diagnostic local (Quality Scanner) + un enregistreur local (DVR) à ta demande.
- Disponible en deux tiers : Free (avec publicités) ou Premium (par abonnement, sans publicités, fonctionnalités additionnelles).
2.2 Ce que Tivera N'EST PAS
- Pas un service de distribution de contenu (zéro chaîne préchargée, zéro catalogue).
- Pas un service de recommandation algorithmique.
- Pas un service de stockage de contenu. La synchronisation cloud Premium (profils, favoris, historique, réglages sélectionnés) utilise notre propre serveur auto-hébergé
api.tivera.tvet ne synchronise que des métadonnées légères (libellé de profil, avatar, drapeau enfant, PIN chiffré, identifiants de contenu opaques) — jamais tes flux ni les identifiants de tes sources. - Pas un intermédiaire technique : tu communiques directement avec le serveur que tu choisis.
Tu es seul responsable des flux que tu importes et de leur conformité au droit d'auteur applicable (cf. Conditions d'utilisation + Politique DMCA).
2.3 Différences Free vs Premium côté données
| Aspect | Free | Premium |
|---|---|---|
| Données collectées par défaut | Aucune | Aucune |
| Publicités AdMob (banner + native + rewarded) | Oui (modèle économique) | Non |
| AAID (identifiant publicitaire Android) lu par AdMob/Google | Oui (géré par Google Play Services) | Non |
| SDK UMP (consentement pub UE/RGPD) | Oui (au 1er lancement UE) | Non applicable |
Télémétrie de diagnostic auto-hébergée (api.tivera.tv) | Hors UE : active par défaut (opt-out) · UE/EEE/UK : opt-in | Identique |
| Firebase Analytics / Crashlytics | Retirés (plus utilisés) | Retirés |
| Play Billing (jetons d'achat) | Non applicable | Oui |
3. Données traitées
3.1 Données saisies par l'utilisateur — stockées localement uniquement
Toutes ces données restent sur ton appareil. Aucune n'est transmise à Mitchou ni à un tiers en usage normal.
- URL M3U / playlist : SQLCipher AES-256. Lecture de tes flux. Base légale RGPD 6.1.b (exécution du contrat). Durée : jusqu'à suppression manuelle / désinstallation.
- Identifiants Xtream Codes (host, user, password) : Google Tink AEAD (clé maître Android Keystore TEE/StrongBox) par-dessus SQLCipher, AAD lié à la source (anti cell-swap). Connexion à ton panel. Base légale RGPD 6.1.b.
- URL EPG XMLTV + mappings vers chaînes : SQLCipher AES-256 (Tink AEAD si Basic Auth dans l'URL). Guide des programmes. Base légale RGPD 6.1.b.
- Historique de lecture (position de reprise) : SQLCipher AES-256. « Continue Watching ». Base légale RGPD 6.1.b.
- Favoris : SQLCipher AES-256. Personnalisation UI. Base légale RGPD 6.1.b.
- Enregistrements DVR (
.ts) + téléchargements VOD offline (Premium) : scoped storage, non chiffrés. Visionnage différé/offline à ta demande. Base légale RGPD 6.1.b. - PIN parental 4 chiffres : Tink AEAD (AAD
parental-pin-v1). Verrouillage du contenu adulte. Base légale RGPD 6.1.b. - Préférences UI (langue, thème, qualité) : DataStore Proto, non sensible. Base légale RGPD 6.1.f (intérêt légitime).
3.2 Données collectées automatiquement par l'application
- AAID (identifiant publicitaire Android) : Free = oui, lu par Google Play Services lors d'une impression AdMob. Premium = non.
- Adresse IP : le payload de télémétrie ne contient pas ton adresse IP comme donnée. Elle reste visible au niveau du transport par tout serveur recevant la requête : (a) le serveur Xtream/EPG que tu configures, (b) Google quand AdMob se déclenche en Free, (c) notre serveur
api.tivera.tv(+ Cloudflare en transit) lorsque la télémétrie est active ou lorsque tu utilises ton compte. Les IP éventuellement journalisées côté serveur le sont le temps strictement nécessaire à la sécurité et au diagnostic, puis supprimées. - Géolocalisation précise : non. Approximative (dérivée IP) : non par Tivera (AdMob peut inférer le pays via IP en Free).
- Contacts / SMS / appels : non (permissions non déclarées). Micro / caméra : non (caméra utilisée uniquement pour scanner un QR d'appairage, 100 % sur l'appareil, aucune image transmise). IMEI / n° de série / MAC : non.
- Android ID (
Settings.Secure.ANDROID_ID) : lu uniquement lorsque la télémétrie de diagnostic est active (cf. 3.4), jamais transmis en clair. Il sert à dériver, par un hachage SHA-256 à sens unique propre à l'app, un identifiant technique d'appareil pseudonyme — stable par appareil : il survit à la réinstallation de l'app et à l'effacement de ses données (il n'est réinitialisé qu'au factory-reset), et ce n'est pas un identifiant matériel (identifiant logiciel app-scope).
3.3 Données techniques nécessairement transmises aux serveurs que tu configures
Quand tu importes un panel Xtream ou une URL M3U/EPG, tes requêtes sortent de ton appareil vers le serveur que tu as choisi (ni Mitchou ni Tivera). Ce serveur reçoit nécessairement ton IP, tes identifiants Xtream et ton User-Agent. Nous n'avons aucun contrôle sur sa politique de confidentialité — consulte-la avant de lui confier tes identifiants.
3.4 Télémétrie de diagnostic auto-hébergée (api.tivera.tv)
Pour corriger les bugs et améliorer la stabilité, Tivera collecte une télémétrie de diagnostic technique envoyée uniquement vers notre serveur auto-hébergé api.tivera.tv (PocketBase, infrastructure de l'Éditeur, Maroc / CNDP) — jamais vers un tiers.
Trois canaux : (1) Rapports de plantage (crash_reports) : stacktrace + extrait du journal technique au moment du crash ; (2) Statistiques d'usage anonymisées (app_events) : ouverture d'écran (route), début de session, démarrage de lecture — aucune URL, aucun nom de chaîne ; (3) Journal de performance quotidien (≤ 125 Ko/24 h) : mesures internes (ex. temps de démarrage à froid) + classe d'appareil (Build.MANUFACTURER + MODEL, ex. « Samsung SM-S911B » — une classe d'appareil, pas une donnée personnelle) + version app/Android + plateforme.
Identifiant : chaque envoi est rattaché à l'identifiant technique d'appareil pseudonyme (cf. 3.2) — stable par appareil, il survit à la réinstallation et à l'effacement des données de l'app. Ce n'est pas ton identité.
Modèle de consentement (géo-conditionné) :
| Région | État par défaut | Base légale | Comment retirer |
|---|---|---|---|
| Hors UE / EEE / UK | Active par défaut (opt-out) | Intérêt légitime (RGPD Art. 6(1)(f)) : diagnostic interne, minimisé, auto-hébergé | Droit d'opposition (Art. 21) : Réglages → Confidentialité → Données de diagnostic : OFF (effet immédiat) |
| UE / EEE / UK | Désactivée par défaut | Consentement (RGPD Art. 6(1)(a)) — requis car la lecture d'ANDROID_ID relève de l'art. 5(3) de la Directive ePrivacy 2002/58/CE (et ses transpositions nationales) | Refuser, ou retirer (Art. 7(3)) via le même toggle |
Le canal n'est jamais actif avant l'age gate (confirmation 13+, cf. § 7). Le retrait (toggle OFF) purge immédiatement les envois en attente non transmis.
Minimisation : tout le contenu passe par les filtres SecretRedactor + UrlRedactor côté client, avant tout envoi (URLs, identifiants, jetons Bearer, IBAN, longues chaînes hexadécimales ≥ 32 caractères supprimés), les identifiants de chaîne sont hashés/tronqués, et le payload est plafonné à 125 Ko.
Jamais transmis : aucun nom / email / téléphone ; aucune de tes sources, chaînes ou historique ; aucun AAID ; aucune publicité, aucune revente.
Sous-traitant : aucun — api.tivera.tv est le serveur auto-hébergé de l'Éditeur, pas un tiers de données. Cloudflare assure uniquement le transit réseau + TLS (pas de stockage). Chiffré en transit (HTTPS). Conservation : 90 jours (purge automatique côté serveur). Ce serveur est situé au Maroc (cf. § 9).
3.5 Firebase Crashlytics / Analytics + GlitchTip/Sentry — RETIRÉS
Firebase Crashlytics, Firebase Analytics et le canal GlitchTip/Sentry ne sont plus utilisés par l'app. Ils sont forcés à l'arrêt au démarrage sur tous les builds (debug / release / beta). Plus aucun rapport de plantage ni statistique d'usage n'est transmis à Google ni à aucun tiers à ces fins. La fonction de diagnostic est désormais entièrement assurée par le canal auto-hébergé décrit en 3.4.
Note : Google AdMob (Free — § 3.6) et Google Play Billing (Premium — § 3.7) sont des services Google distincts et non concernés par ce retrait ; ils restent déclarés.
3.6 Google AdMob (mode Free uniquement)
En tier Free, l'app affiche des publicités via le SDK Google Mobile Ads (AdMob). Formats : banner adaptatif 320×50 dp en bas d'écran, native dans le rail Browse, rewarded (opt-in) pour un scan supplémentaire du Quality Scanner. Aucune publicité sur Android TV / Leanback.
Données transmises à Google par le SDK AdMob — en mode personnalisé (consentement UE donné) : AAID, IP, User-Agent, modèle d'appareil, package + version, ad unit ID, historique de pubs vues (fréquence), centres d'intérêt déduits, interactions passées. En mode non personnalisé (consentement refusé) : AAID anonymisé, IP (ciblage pays grossier), User-Agent, modèle, package + version, ad unit ID — pas d'historique, pas de cohortes, pas d'interactions passées.
UMP SDK : au 1er lancement détecté en UE, un dialogue Google UMP recueille ton consentement à la pub personnalisée (accepter = personnalisé ; refuser = non personnalisé). Désactivation totale d'AdMob : passer en Premium. Aucun toggle granulaire AdMob en Free (modèle économique).
Sous-traitant : Google LLC. Conservation : selon la politique Google (typiquement ~14 mois pour les cohortes publicitaires).
3.7 Google Play Billing (mode Premium uniquement)
Quand tu souscris au tier Premium (abonnement mensuel 3,99 USD / annuel 24,99 USD avec free trial 7 jours sur l'annuel). Aucun achat définitif « à vie » n'est proposé.
- Données gérées par Google Play (jamais vues par Tivera) : moyen de paiement (carte, PayPal, Google Pay, opérateur), adresse de facturation.
- Données reçues par Tivera : jeton d'achat (purchase token, preuve opaque) + statut d'abonnement (active / annulé / grace period) via BillingClient.
- Stocké localement par Tivera : statut Premium (booléen, DataStore) + purchase token (Tink AEAD, AAD
play-billing-v1) pour re-validation périodique.
Aucune donnée de paiement (numéro de carte, CVV, expiration) n'est jamais traitée, vue ou stockée par Tivera. Annulation : Google Play Store → Abonnements → Tivera → Annuler. Remboursements : politique standard Google Play (48 h pour les abonnements) — demande via Google Play, pas via Tivera.
3.8 Profils utilisateur + synchronisation cloud Premium (profiles)
Tivera permet de créer plusieurs profils sur un même compte (favoris et historique par profil, profil restreint optionnel). Les profils sont stockés localement (Room SQLCipher AES-256) et, uniquement si tu es abonné Premium et que tu actives la sync cloud, synchronisés vers notre serveur auto-hébergé via la collection profiles (api.tivera.tv).
Données synchronisées par profil (Premium + sync active uniquement) : name (libellé — potentiellement personnel si tu y mets un prénom réel ; recommandation : utilise un pseudonyme, surtout pour un profil enfant), avatarId (index d'illustration neutre), isKids (drapeau de filtrage choisi par le titulaire, PAS une déclaration d'âge), pinCiphertext (PIN chiffré Google Tink AES-256-GCM, jamais déchiffré côté serveur). Aucune date de naissance n'est collectée. Favoris et historique sont désormais par profil ; aucun flux, aucun nom de chaîne/film/série, aucun identifiant Xtream ne transite vers api.tivera.tv (identité de contenu = SHA-256 opaque). Sous-traitant : aucun ; sync opt-in (Premium, activable/désactivable dans les Réglages).
3.9 Compte Tivera (adresse email + code OTP)
Le compte est facultatif. Aucun compte n'est nécessaire pour utiliser l'app en Free (importer tes sources, lire tes flux, scanner tes chaînes). Tu ne crées un compte que pour débloquer Premium, activer la sync cloud, gérer tes appareils, ou saisir un code promo.
- Adresse email : fournie par toi ; connexion par code à usage unique (OTP) (pas de mot de passe). Transmise à notre serveur auto-hébergé
api.tivera.tv(Maroc / CNDP) et y est stockée pour identifier ton compte (entitlement Premium, liste des appareils, codes promo). Base légale : RGPD 6.1.b (exécution du contrat). Sous-traitant : aucun ; chiffré en transit. Conservation : jusqu'à la suppression de ton compte (cf. § 5 + § 10). Ton email n'est jamais utilisé pour la publicité, jamais revendu, jamais partagé à des courtiers.
4. Destinataires des données (RGPD Art. 13.1.e)
| Destinataire | Données concernées | Finalité | Localisation |
|---|---|---|---|
| Toi-même (sur ton appareil) | 100 % des données saisies | Usage de l'app | Local |
| Serveurs IPTV/EPG que tu configures | Identifiants Xtream + IP + User-Agent | Authentification + lecture | Variable (ton choix) |
Serveur auto-hébergé api.tivera.tv — Compte (Éditeur, pas un tiers) | Email du compte (OTP) — facultatif | Gestion de compte / entitlement / sync / appareils / codes promo | Maroc / CNDP |
Serveur auto-hébergé api.tivera.tv — Télémétrie (Éditeur, pas un tiers) | Stacktraces + stats d'usage (routes d'écran) + journal de perf + classe d'appareil + identifiant pseudonyme | Diagnostic / stabilité | Maroc / CNDP |
| RETIRÉ — plus de transfert vers Google à ces fins (cf. 3.5) | — | — | |
| Google AdMob (Free) | AAID + IP + appareil + ad unit ID + cohortes (en personnalisé) | Affichage publicitaire | USA + UE (CCT + DPF) |
| Google Play Billing (Premium) | Purchase token (pas de données bancaires) | Validation abonnement | Google (global) |
Serveur auto-hébergé api.tivera.tv — Sync cloud (Éditeur, pas un tiers) | Profils (libellé, avatar, drapeau enfant, PIN chiffré) + favoris + historique par profil (identité de contenu SHA-256 opaque) | Synchronisation multi-appareils | Maroc / CNDP |
| Cloudflare | Transit réseau (CDN + Tunnel + WAF) — voit IP/headers, ne stocke aucune donnée personnelle | Acheminement + sécurité réseau | Multinational (DPA) |
Aucune vente de données à des courtiers ou agrégateurs. Aucun partage à des fins publicitaires autre que Google AdMob (Free uniquement).
5. Tes droits (RGPD Art. 13.2.b + Art. 15 à 22 + CCPA/CPRA)
5.1 Droits RGPD (résidents UE / EEE / UK)
- Accès (Art. 15) : tes données locales sont sur ton appareil (Réglages → Sources / Apparence…). Données de compte : export machine (email, entitlement, appareils, factures, profils, favoris + historique par profil, journaux te concernant) — sur demande à
privacy@tivera.tv. - Rectification (Art. 16) : directement dans l'app (Réglages → Sources → Modifier) ; email de compte modifiable, ou demande à
privacy@tivera.tv. - Limitation (Art. 18) : désactive la télémétrie (toggle « Données de diagnostic », Réglages → Confidentialité).
- Portabilité (Art. 20) : Réglages → Aide → Envoyer un rapport de diagnostic (ZIP lisible) ; export de compte sur demande à
privacy@tivera.tv. - Opposition (Art. 21) : hors UE/EEE/UK, la télémétrie repose sur l'intérêt légitime → tu peux t'y opposer à tout moment via le toggle « Données de diagnostic », sans dégradation du service. En UE/EEE/UK, ce canal est de toute façon désactivé jusqu'à ton consentement.
- Décision automatisée (Art. 22) : aucun profilage ni décision automatisée. Les moteurs de recovery/scanner utilisent des heuristiques techniques — pas de Machine Learning / IA au sens du Règlement UE 2024/1689 (EU AI Act).
Suppression du compte et effacement de tes données (Art. 17)
- Données locales : Réglages → Vider le cache supprime chaînes/EPG/enregistrements/téléchargements (les identifiants Xtream sont préservés pour reconnexion) ; désinstaller l'app supprime tout (
/data/data/com.mitchou.tivera/). - Télémétrie de diagnostic : désactiver le toggle « Données de diagnostic » purge immédiatement les envois en attente ; pour l'effacement des données déjà transmises à
api.tivera.tv, écris àprivacy@tivera.tven indiquant ton identifiant technique d'appareil (Réglages → Aide) — suppression sous 30 jours (et purge automatique à 90 jours). - Profils synchronisés : supprimer un profil dans l'app déclenche un soft-delete (masquage immédiat, purge serveur sous 30 jours).
- Suppression du compte (cascade) : depuis l'app ou sur demande à
privacy@tivera.tv. La suppression du compte purge en cascade, côté serveurapi.tivera.tv, tous tes profils (y compris les profils enfantisKids), tes favoris et ton historique par profil, tes réglages et sources synchronisés, ton entitlement Premium, tes appareils enregistrés et tes jetons d'appairage, et anonymise tes lignes de journal d'audit. Tes factures sont également supprimées. Tu peux les exporter au préalable (cf. § 5.1), et le prestataire de paiement en conserve sa propre copie (cf. § 10). - Premium : annuler l'abonnement via Google Play, puis désinstaller.
5.2 Droits CCPA / CPRA (résidents Californie)
Tivera ne vend pas de données. Right to Know — catégories collectées (12 derniers mois) : Identifiers (AAID en Free ; identifiant technique d'appareil pseudonyme pour la télémétrie ; email si compte) ; Commercial information (statut d'abonnement) ; Internet/Network Activity (interactions AdMob ; routes d'écran de la télémétrie) ; Geolocation (pays approximatif dérivé de l'IP par AdMob en Free). Sources : toi + ton appareil. Finalités commerciales : publicité (Free), fourniture du service, diagnostic. Partagé/« vendu » : uniquement AAID + activité réseau via Google AdMob (Free) — un « partage » au sens CPRA, refusable via UMP ; la télémétrie va vers notre serveur auto-hébergé (pas un tiers — hors champ « partage »/« vente » CCPA). Right to Delete / Correct : cf. § 5.1. Opt-Out of Sale/Sharing : le partage AdMob (en personnalisé) est refusable via le consentement UMP (et automatiquement non personnalisé pour les utilisateurs CCPA détectés par Google). Limit Use of Sensitive PI : aucune donnée sensible collectée. Non-Discrimination + Authorized Agent applicables. Délai 45 jours — privacy@tivera.tv.
5.3 Réclamation
- CNDP (Maroc) : https://www.cndp.ma
- Résidents UE/EEE : l'autorité de contrôle de ta résidence (ex. CNIL en France : https://www.cnil.fr/fr/plaintes). Liste : https://edpb.europa.eu/about-edpb/about-edpb/members_en.
- California AG : https://oag.ca.gov
6. Sécurité des données (RGPD Art. 32)
6.1 Chiffrement au repos
- SQLCipher AES-256 sur la base locale (chaînes, EPG, sources, historique, téléchargements).
- Google Tink AEAD (clé maître Android Keystore TEE/StrongBox) en surcouche pour : identifiants Xtream (AAD lié à la source, anti cell-swap), identifiants EPG, PIN parental (AAD
parental-pin-v1), purchase token Play Billing (AADplay-billing-v1). - Enregistrements / téléchargements VOD : fichiers
.tsnon chiffrés en scoped storage, supprimés à la désinstallation.
6.2 Chiffrement en transit
- HTTPS strict vers les domaines first-party (Google Play Services / AdMob) + vers notre backend
api.tivera.tv. - Cleartext HTTP toléré uniquement vers les serveurs IPTV/EPG que tu configures (la majorité des panels Xtream servent encore en HTTP — le refuser casserait l'usage BYOC).
6.3 Architecture défensive
- Permissions Android minimales ; CAMERA uniquement pour scanner un QR d'appairage (traitement 100 % local). Permissions ajoutées par les SDK Google (version publiée) :
com.android.vending.BILLING(Premium),AD_ID+ACCESS_ADSERVICES_*(AdMob, Free uniquement),BIND_GET_INSTALL_REFERRER_SERVICE(attribution d'installation),READ_EPG_DATA(rail « Continue Watching » du launcher Android TV). Aucune permission dangereuse runtime hors CAMERA. - R8/ProGuard en release ; règles de backup restrictives (excluent les identifiants Xtream chiffrés du backup Google Drive) ;
SecretRedactor+UrlRedactorsur tout log ET tout payload de télémétrie avant envoi.
6.4 Notification de violation (RGPD Art. 33-34)
En cas de violation affectant tes droits, Mitchou notifie l'autorité de contrôle compétente (CNDP au Maroc ; CNIL ou l'autorité UE de l'utilisateur concerné) sous 72 heures, et toi directement si le risque est élevé.
7. Mineurs (COPPA US + RGPD Art. 8)
Tivera est destiné aux 13 ans ou plus. Age gate déclaratif au 1er lancement (« J'ai 13 ans » + acceptation du Disclaimer). Pas de collecte intentionnelle de données de mineurs de moins de 13 ans. La télémétrie de diagnostic est gatée par l'age gate : aucun identifiant persistant n'est transmis avant la confirmation 13+. PIN parental 4 chiffres + profils restreints (isKids) = contrôle parental best-effort, optionnel, aucune date de naissance demandée, aucune analytics ni pub ciblée scopée à un profil enfant. Parent/tuteur : privacy@tivera.tv.
Publicité et mineurs (UE) : dans l'UE/EEE, l'âge du consentement numérique (RGPD Art. 8) varie de 13 à 16 ans selon l'État membre. Pour protéger les utilisateurs susceptibles d'être mineurs, la publicité personnalisée n'est jamais activée sans consentement valide recueilli via le SDK Google UMP ; à défaut (ou en cas de refus), seules des publicités non personnalisées (NPA — sans profilage ni ciblage comportemental) sont servies. Le tier Premium supprime toute publicité.
8. Cookies / trackers tiers
Tivera est une app mobile native (pas un site web). Aucun cookie HTTP propre ; les cookies serveur tiers éventuels (ex. __cf_bm d'un panel) sont gérés en RAM (InMemoryCookieJar), jamais persistés. Aucun pixel/beacon propriétaire. Le site tivera.tv : aucun cookie tiers, aucun script analytics/publicitaire tiers, aucun CDN externe en runtime (règle interne R-NA-1) — les appels vont uniquement vers notre backend (api.tivera.tv) sur action utilisateur.
9. Transferts internationaux (RGPD Art. 44 à 50)
| Transfert | Cadre juridique |
|---|---|
| Ton device → serveurs IPTV/EPG que tu configures | Pas de transfert orchestré par Mitchou (tu choisis le destinataire). |
| Télémétrie + sync cloud Premium → serveur auto-hébergé (Maroc) | Le Maroc ne bénéficie pas d'une décision d'adéquation UE (Art. 45). Bases de transfert retenues pour les utilisateurs UE/EEE : (a) télémétrie de diagnostic — consentement explicite (dérogation Art. 49(1)(a)), ce canal étant de toute façon opt-in en UE ; (b) compte + synchronisation cloud Premium — transfert nécessaire à l'exécution du contrat que tu demandes (Art. 49(1)(b)). Mesures complémentaires : pseudonymisation + minimisation (SecretRedactor/UrlRedactor) + chiffrement en transit ; responsable unique (l'Éditeur héberge lui-même, pas d'importateur tiers distinct au sens des lignes directrices CEPD 05/2021) ; cadre légal local Loi 09-08 + autorité CNDP. |
| AdMob (Free) / Play Billing (Premium) → Google LLC (USA) | CCT + DPF. |
| Transit Cloudflare | Acheminement réseau (pas de stockage de données perso) ; DPA Cloudflare. |
10. Durée de conservation (RGPD Art. 13.2.a)
- Données locales (Xtream, M3U, EPG, historique, enregistrements, téléchargements) : tant que l'app est installée ; effacement immédiat à la désinstallation ou via « Vider le cache ».
- Télémétrie de diagnostic (
crash_reports+app_events+ journal de perf) : 90 jours puis purge automatique. Retrait anticipé via le toggle. - Firebase Crashlytics / Analytics : n/a (retirés, plus de collecte).
- Compte (email, entitlement, appareils, appairages, profils, favoris, historique) : jusqu'à la suppression du compte (purge en cascade). Entitlement : jusqu'à expiration + fenêtre litiges/remboursement.
- Factures (métadonnées) : supprimées à la clôture du compte (purge en cascade). Le prestataire de paiement en conserve sa propre copie au titre de son obligation comptable (également en cas de litige).
- AdMob cohortes (Free) : selon la politique Google (~14 mois). Premium purchase token : tant que l'abonnement est actif + grace period.
- Journal d'audit (
audit_log, incl. IP client) : 90 jours ; lignes anonymisées à la suppression du compte.
11. Mise à jour de cette politique
Toute modification matérielle entraîne : notification in-app au prochain démarrage (banner non-bloquant + lien vers le diff) + mise à jour de la date + conservation du diff Git versionné publiquement + re-acceptance si une nouvelle catégorie de traitement est ajoutée (ex. nouveau réseau publicitaire). Les modifications mineures ne déclenchent pas de re-acceptance.
12. Contact
- Email général :
contact@tivera.tv - Email confidentialité (exercice des droits) :
privacy@tivera.tv - Email DMCA :
dmca@tivera.tv(cf. Politique DMCA) - Adresse postale : Tralles, rue Essanaouabar, Casablanca, Maroc
Délai de réponse : 30 jours (RGPD) / 45 jours (CCPA).
13. Documents associés
Statut : DRAFT v2.1 — divulgue le modèle Free + Premium (AdMob en Free, Play Billing en Premium), la télémétrie auto-hébergée (Firebase retiré) et la synchronisation cloud Premium. À valider par un avocat (Loi 09-08 / CNDP + RGPD/ePrivacy) avant publication ferme : base légale de la télémétrie, garanties de transfert Maroc → UE, mécanisme d'opt-out. La version française fait foi ; les autres langues sont des traductions de courtoisie.