Politique de confidentialite

1. Responsable du traitement

Le responsable du traitement des donnees personnelles collectees via la plateforme flota.fr est :

• Jocelin FREQUELIN
• Nom commercial : VTC BOOST
• Date de creation : 09/09/2024
• 4 quai du Bruckhof, 67100 Strasbourg, France
• Email : contact@flota.fr
• Contact RGPD : rgpd@flota.fr

Jocelin FREQUELIN assure personnellement le role de referent a la protection des donnees. Il n'y a pas de Delegue a la Protection des Donnees (DPO) designe, cette designation n'etant pas obligatoire au regard de l'activite et du volume de traitement.

2. Donnees collectees

Dans le cadre de l'utilisation de la plateforme, nous collectons les donnees suivantes :

Pour les exploitants VTC (Donneurs d'Ordres)

• Nom, prenom, raison sociale, SIREN
• Adresse email, numero de telephone
• Adresse postale de l'entreprise
• Numero EVTC, numero de carte professionnelle
• Coordonnees bancaires (IBAN/BIC) pour la facturation
• Photo de profil (facultatif)
• Donnees de connexion (adresse IP, user-agent, horodatage)

Pour les passagers (clients finaux)

• Nom, prenom
• Adresse email, numero de telephone
• Adresses de prise en charge et de destination
• Historique des reservations et facturation
• Notations et commentaires laisses apres les courses

Pour les chauffeurs partenaires

• Nom, prenom, raison sociale, SIREN
• Adresse email, numero de telephone
• Numero EVTC, carte professionnelle
• Informations vehicule (marque, modele, immatriculation)
• Historique des courses effectuees

Aucune donnee sensible au sens du RGPD (sante, religion, opinions politiques, orientation sexuelle, origine raciale/ethnique) n'est collectee. Aucune donnee bancaire complete (numero de carte) n'est stockee sur nos serveurs : les paiements sont traites directement par Stripe.

3. Finalites du traitement

Les donnees sont collectees pour les finalites suivantes :

• Creation et gestion des comptes utilisateurs, authentification securisee
• Traitement, suivi et execution des reservations de transport
• Facturation, gestion des paiements et recouvrement
• Communication avec les clients et chauffeurs (SMS, email, WhatsApp)
• Respect des obligations comptables et fiscales (conservation des factures)
• Synchronisation avec des services tiers choisis par l'utilisateur (Google Calendar, Stripe)
• Amelioration continue du service et support technique
• Prevention et detection des fraudes et abus
• Reponse aux demandes d'exercice des droits RGPD

4. Bases legales du traitement

Chaque traitement repose sur une base legale precise :

• Execution du contrat (art. 6.1.b RGPD) : traitement des reservations, facturation, gestion de compte
• Obligation legale (art. 6.1.c RGPD) : conservation des factures (10 ans), donnees comptables
• Interet legitime (art. 6.1.f RGPD) : amelioration du service, prevention des fraudes, securite informatique
• Consentement (art. 6.1.a RGPD) : envoi de communications marketing, cookies non strictement necessaires (le cas echeant)

5. Destinataires et sous-traitants

Vos donnees sont traitees par des prestataires techniques selectionnes pour leur conformite RGPD. Un contrat de sous-traitance (DPA) a ete signe avec chacun d'eux conformement a l'article 28 du RGPD :

CCT = Clauses Contractuelles Types de la Commission europeenne, garantissant un niveau de protection adequat pour les transferts hors Union europeenne.

6. Durees de conservation

• Donnees de compte actif : conservees pendant toute la duree du contrat
• Donnees apres cloture de compte : 3 ans a des fins de preuve puis anonymisation
• Donnees de facturation : 10 ans apres emission (obligation comptable, art. L123-22 Code de commerce)
• Donnees de reservation : 3 ans apres la course
• Logs de connexion et securite : 12 mois (art. L34-1 Code des postes)
• Prospects (formulaires de contact) : 3 ans apres le dernier contact
• Cookies strictement necessaires : duree de la session ou 13 mois maximum

A l'expiration de ces durees, les donnees sont supprimees ou anonymisees de maniere irreversible, sauf obligation legale contraire.

7. Vos droits

Conformement aux articles 15 a 22 du RGPD, vous disposez des droits suivants :

• Droit d'acces : obtenir la confirmation que vos donnees sont traitees et en recevoir une copie
• Droit de rectification : corriger des donnees inexactes ou incompletes
• Droit a l'effacement (« droit a l'oubli ») : demander la suppression de vos donnees
• Droit a la portabilite : recevoir vos donnees dans un format structure et couramment utilise
• Droit d'opposition : vous opposer au traitement pour motif legitime
• Droit a la limitation : demander le gel temporaire du traitement
• Droit de retirer votre consentement a tout moment, pour les traitements bases sur celui-ci
• Droit de definir des directives post-mortem sur le sort de vos donnees

En cas de desaccord avec notre reponse, vous pouvez introduire une reclamation aupres de la CNIL :

• Commission Nationale de l'Informatique et des Libertes
• 3 place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
• Site : www.cnil.fr

8. Transferts de donnees hors Union europeenne

Certains de nos sous-traitants (Vercel, Stripe, Resend, Google, Meta) sont situes aux Etats-Unis. Ces transferts sont encadres par les Clauses Contractuelles Types adoptees par la Commission europeenne, garantissant un niveau de protection des donnees equivalent a celui de l'Union europeenne.

Les donnees sensibles (IBAN, SIREN, informations de facturation) sont stockees exclusivement sur les serveurs europeens de Supabase.

9. Securite des donnees

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriees pour proteger vos donnees contre tout acces non autorise, alteration, divulgation ou destruction :

• Chiffrement integral des communications (HTTPS/TLS 1.3)
• Authentification par JWT avec tokens a duree limitee
• Politiques de controle d'acces (RLS) au niveau de la base de donnees
• Mots de passe hashes via bcrypt (jamais stockes en clair)
• Mots de passe robustes exiges (8 caracteres minimum avec complexite)
• Journalisation des acces sensibles pendant 12 mois
• Hebergement sur serveurs europeens certifies ISO 27001 (Supabase)
• Sauvegardes automatiques quotidiennes

10. Notification en cas de violation

En cas de violation de donnees susceptible d'engendrer un risque pour vos droits et libertes, nous nous engageons a :

• Notifier la CNIL dans un delai de 72 heures apres en avoir pris connaissance
• Vous informer individuellement dans les meilleurs delais si le risque est eleve
• Documenter l'incident, ses causes et les mesures prises

11. Cookies et traceurs

Le site utilise uniquement des cookies strictement necessaires a son fonctionnement, ne necessitant pas de consentement prealable :

• Cookie de session Supabase : maintien de la connexion utilisateur
• Token d'authentification : stocke dans le localStorage du navigateur
• Preference de theme (clair/sombre) : memorisation du choix d'affichage

Aucun cookie publicitaire, analytique ou de tracking tiers n'est installe. Nous n'utilisons ni Google Analytics, ni Meta Pixel, ni aucun autre outil de mesure d'audience comportementale.

12. Mineurs

Notre service n'est pas destine aux mineurs de moins de 15 ans. Aucune donnee n'est collectee sciemment aupres d'enfants sans le consentement de leurs parents ou tuteurs legaux.

13. Modifications de la politique

Nous nous reservons le droit de modifier la presente politique de confidentialite pour refleter des changements legaux, techniques ou organisationnels. Toute modification substantielle sera notifiee par email aux utilisateurs actifs au moins 30 jours avant son entree en vigueur.

14. Contact

Pour toute question relative a cette politique ou au traitement de vos donnees personnelles :

• Par email : rgpd@flota.fr
• Par courrier : Jocelin FREQUELIN - 4 quai du Bruckhof, 67100 Strasbourg, France
• Via le formulaire en ligne : flota.fr/rgpd