La présente politique décrit comment Rcars collecte, utilise et protège vos données personnelles, en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et la Loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Responsable du traitement
Le responsable du traitement est [Société], [adresse], joignable à l'adresse legal@rcars.fr.
2. Données collectées
2.1 Données fournies par vous
- Compte : email, mot de passe (hashé argon2id), nom (optionnel).
- Cotations : marque, modèle, année, km, options, état — historisés pour vous permettre de les retrouver.
- Alertes : critères de recherche, seuils de prix, canal de notification.
- Facturation : nom, adresse de facturation, TVA (pour les professionnels). Les numéros de carte bancaire ne transitent jamais par nos serveurs — ils sont gérés exclusivement par Stripe.
2.2 Données collectées automatiquement
- Logs techniques : adresse IP, user-agent, horodatage, endpoints appelés (conservés 30 jours pour la sécurité).
- Cookies techniques : session, jeton CSRF, préférences. Voir Politique cookies.
2.3 Données NON collectées
Nous ne collectons pas : plaque d'immatriculation, numéro VIN, géolocalisation précise, données biométriques, données de santé, opinions politiques, ou toute autre donnée dite sensible au sens de l'article 9 RGPD.
3. Bases légales et finalités
| Finalité | Base légale | Durée |
|---|---|---|
| Fourniture du Service (compte, cotations, alertes) | Exécution du contrat (art. 6.1.b) | Durée du compte + 3 ans |
| Facturation & comptabilité | Obligation légale (art. 6.1.c) | 10 ans (Code de commerce) |
| Sécurité, anti-fraude, logs techniques | Intérêt légitime (art. 6.1.f) | 30 jours (logs applicatifs) |
| Emails transactionnels (confirmation, reset, 2FA) | Exécution du contrat | Durée du compte |
| Emails marketing (newsletter, offres) | Consentement (art. 6.1.a) — opt-in | Jusqu'à désinscription |
| Amélioration du Service (analytics anonymisés) | Intérêt légitime | 13 mois max |
4. Destinataires & sous-traitants
Vos données sont traitées exclusivement par les équipes autorisées de l'Éditeur et par les sous-traitants suivants, contractuellement liés par un accord de sous-traitance conforme à l'article 28 RGPD :
- Stripe Payments Europe Ltd (Irlande) — paiements & facturation.
- Resend (États-Unis, DPF) — emails transactionnels.
- [Hébergeur] — hébergement applicatif en France / Union européenne.
- Cloudflare — CDN, protection anti-bot, WAF.
Aucune donnée n'est revendue à des tiers. Les transferts hors UE sont encadrés par des Clauses Contractuelles Types (CCT) ou par une décision d'adéquation de la Commission européenne.
5. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès : obtenir la copie des données que nous détenons.
- Rectification : corriger toute donnée inexacte.
- Effacement (« droit à l'oubli ») : supprimer vos données, sous réserve des obligations légales de conservation.
- Portabilité : recevoir vos données dans un format structuré (JSON).
- Opposition : refuser le traitement à des fins de marketing.
- Limitation : restreindre temporairement certains traitements.
- Retrait du consentement, sans effet rétroactif.
- Directives post-mortem : définir le sort de vos données après votre décès.
Pour exercer ces droits, contactez-nous à legal@rcars.fr. Nous répondons sous un mois. En cas de désaccord, vous pouvez saisir la CNIL.
6. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS 1.3 en transit, AES-256-GCM au repos pour les données sensibles.
- Hash argon2id des mots de passe (jamais stockés en clair).
- Authentification à deux facteurs (TOTP) disponible sur tous les comptes.
- Journalisation des accès administrateurs, rotation des secrets, revue trimestrielle.
- Audits de sécurité réguliers, processus de gestion des incidents (notification CNIL sous 72h en cas de violation).
7. Modifications
Cette politique peut être mise à jour. Toute modification substantielle sera notifiée par email au moins 15 jours avant son entrée en vigueur.